Der selbsternannte Krypto-Junkie Warith Al Maawali führt derzeit einen erbitterten Kampf mit dem Anbieter der Krypto- Coinomi. Zu diesem Zweck hat der Omaner eigens eine Homepage eingerichtet, dessen Name keinen Hehl aus seiner Haltung gegenüber dem Wallet-Anbieter macht. Auf www.avoid-coinomi.com führt Al Maawali minuziös aus, warum der Herausgeber der Wallet seiner Meinung nach für den Verlust seiner Ersparnisse verantwortlich ist. Nun hat der CTO der zurück geschossen und unterstellt Al Maawali eine erpresserische Vorgehensweise.
Al Maawalis Vorwurf: Die Desktop-Version der Krypto-Wallet sendet Passwörter und Seeds ihm Rahmen der Rechtschreibprüfung unverschlüsselt an Google. So habe er Krypto-Einlagen im Gegenwert von 60.000 bis 70.000 US-Dollar verloren zu haben.
Al Maawali reißt der Geduldsfaden
Al Maawali wendete sich zunächst an die Kundenbetreuung von Coinomi, um die Wallet-Betreiber auf den Verlust seiner Rücklagen hinzuweisen. Mit Details hielt er sich dabei zunächst zurück. Er forderte eine Versicherung von Coinomi, dass er sein Geld vollständig zurück erhalten wird. Gleichzeitig drohte er, andernfalls die Schwachstelle zu veröffentlichen, bevor Coinomi reagieren kann. Coinomi forderte im Gegenzug, dass Al Maawali den Bug verantwortungsvoll offen zu legen und stellte ihm eine Belohnung (Bounty) in Aussicht. Auf Al Maawalis Frage, wie hoch diese ausfallen solle, antwortete Coinomi nicht direkt.
Da sich die Korrespondenz wider die Erwartungen Al Maawalis entwickelte, machte dieser am 26. Februar seine Drohung wahr und seine Geschichte . Darin verdächtigt der – mutmaßlich – um seine Einlagen geprellte Hodler den Wallet-Betriebern, ein abgekartertes Spiel zu spielen:
Es würde mich nicht wundern, wenn sie absichtlich diese Backdoor-Verhaltensfunktion entwickelt hätten und einen Insider bei Google hätten, besonders wenn man aus den jüngsten Nachrichten über einen Gründer von Krypto-Exchanges erfährt, der einen seltsamen Tod [mutmaßlich] vortäuscht, während niemand außer ihm Zugang zu den Vermögenswerten der Krypto-Währung hat!
Coinomi wiegelt ab
Der Wallet-Anbieter reagierte Tags darauf mit einer , die Al Maawalis Version in Zweifel zieht. Zwar räumt Coinomi – vertreten durch CTO Angelos Veglektis – ein:
Unsere Ingenieure bestätigten, dass die Rechtschreibprüfung tatsächlich für die Desktop Wallets aktiviert war,
allerdings wurden die Passwörter ihm Rahmen der Rechtschreibprüfung nicht – wie Al Maawali behauptet – als unverschlüsselter Klartext, sondern, eingebettet in eine HTTPS-Anfrage, an Google übermittelt. Somit hätte niemand außer einem möglichen Google-Mitarbeiter Einsicht in den Seed nehmen können – was Al Maawalis Verdacht nicht gerade entkräftet.
Ferner hätte die Google API die Anfragen weder „verarbeitet, [noch] zwischengespeichert oder gespeichert“, sondern wurden von dieser als „Bad Request“ ignoriert. Um sicher zu gehen, dass die Daten von Google nicht weiter verarbeitet würden, hat Coinomi Google um eine Stellungnahme gebeten. Diese steht bislang jedoch noch aus.
Zudem liege der Fehler nicht im Quellcode von Coinomi, sondern in einem JxBrowser-Plugin. Diese komme ausschließlich in der –mittlerweile gepatchten – Desktop-Version zum Einsatz.
Benutzer der Desktop-Version von Coinomi sind deshalb dazu angehalten, die neueste Version der Wallet zu installieren. Wer die mobile Android- bzw. iOS-Version verwendet, muss indes keine weiteren Schritte unternehmen.
Die nächste Runde – vor Gericht?
Al Maawali hat angekündigt, seinen Feldzug gegen die Wallet-Anbieter vor Gericht fortzusetzen, wenn der Wallet-Anbieter sich nicht dazu bereit erklärt, Verantwortung für den Verlust seiner Coins zu übernehmen. Außerdem ruft Al Maawali weitere eventuelle Opfer auf, seinem Beispiel zu folgen.
Coinomi weist indes darauf hin, dass es außer Al Maawali keine Meldungen über Verluste von Kryptowährungen gegeben habe – und deutet ihrerseits implizit rechtliche Schritte an:
[…] es gibt noch immer einen Weg die Echtheit seiner Forderung zu überprüfen, und wenn die Gelder tatsächlich gestohlen wurden, war es viel wahrscheinlicher, dass ein infizierter Host diese Gelder gestohlen hat, anstatt [Google]. Wenn sich die Behauptung als falsch herausstellt, werden wir nach Mitteln suchen, um die Dinge in Ordnung zu bringen und ein Wiederauftreten zu verhindern.
Angesichts dieser Entwicklung muss sich sich Al Maawali wohl wenig Hoffnung auf die Bug Bounty machen.
Blockchain- & Fintech-Jobs: Auf der Suche nach einer neuen Herausforderung? In unserer findet Ihr aktuelle Stellenanzeigen von Blockchain- & Fintech-Unternehmen.
Published at Fri, 01 Mar 2019 08:30:53 +0000
