暗号ウォレットCoinomi、約8億円相当の資産の盗難を訴えるユーザーの主張を否定

ブログランキングに参加中!!ポチッと押して応援よろしくお願い致します!!

にほんブログ村 投資ブログ 仮想通貨投資へ

暗号ウォレットCoinomi、約8億円相当の資産の盗難を訴えるユーザーの主張を否定

暗号ウォレットCoinomi、約8億円相当の資産の盗難を訴えるユーザーの主張を否定

27日、ユーザーWarith Al Maawali氏がプラットフォームの脆弱性により、7万ドル(約8億円)相当のデジタル資産を失ったとRedditで訴えました。同日、暗号ウォレット会社Coinomiは、調査結果をブログで表明。Maawali氏の主張を否定しています。

aawaliがRedditで記した内容によると、Coinomiのデスクトップウォレットから不当に資金が奪われた後に、「シード・フレーズ(暗号資産へのアクセスに使用する約12単語)」がHTTPリクエストを通して送信されていることに気づいたという。

デスクトップウォレットにはスペルチェック機能が組み込まれているため、シードフレーズがプレーンテキストでGoogleに紐づくアドレスに送信され、この脆弱性のためにウォレットがハッキングされたと主張しています。

「つまり、Googleチームが所有するドメイン(googleapis.com)に送信されたHTTPリクエストにアクセスした誰かがパスフレーズを取り出し、それを使って私の6万~7万ドル相当の暗号資産を盗んだ(に違いない)。」

一方、Coinomiは、Googleスペルチェック機能の設定がオンになっている事は認めました。しかし、その他の主張は退けています;
 
・シードフレーズはプレーンテキストで送信されていません。Googleが唯一の受信者であるHTTPSリクエスト内にカプセル化されている。
・ユーザーが意図的にデスクトップウォレットを復元しない限り、シードフレーズはまったく送信されない。
・Google APIに送信されたスペルチェックリクエストは処理もキャッシュも保存もされない。

「これは当社のソースコードのバグではありませんでした。Desktopウォレットのみで使用されるプラグイン設定オプションに拠るものです。このプラグインは最近のアップデートでスペルチェック機能をデフォルトで有効となりました。そして6日前に(Google)jxBrowserプラグインチームによって修正されました。」

Coinomiは、この問題の影響を受けたユーザーの報告は他に無いとした。また、Googleの誰かがMaawaliの資金を盗んだとは考えていない。;

「ここ数日、Maawaliは情報開示を繰り返し拒み、我々を脅迫し続けました。『ハッキングされた資金』を補償する17 BTCをすぐに支払わなければ、この件を公にすると…

これまでにMaawali以外、Desktopウォレットのハッキング報告はありません。彼の主張の信憑性は引き続き調査しています。また、仮に資産が本当に奪われている場合、Googleが資金を盗んだというより、感染したホストが原因である可能性の方が高い。主張の虚偽が証明された場合は、事態を収拾し、再発防止策を模索します。」

Coinomiによると、この問題はAndroidユーザーやiOSユーザーには影響を及ぼさない。デスクトップウォレットユーザーは最新バージョンにアップデートする様に要請しています。

その後、Maawali氏は、Redditに別の2人のユーザーが同様の被害情報がアップされていると訴えて、画像をアップしました。

関連記事

引用元はこちら

当サイトは非営利にて運営を行わせて頂いております。 運営に関する募金はビットコインにて随時行わせて頂いております。 もし今後も当サイトを応援して頂ける方は是非ビットコインにて募金して頂けますと幸いです。

■ビットコイン(Bitcoin)
1L1mCDuAPZJJtt7boJvDzBNCqv66X3eqgQ

■イーサリアム(Ether)
0xB6c362e6c49F54F271E17CC1D064D5Ae6605066B