Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Quelle: Shutterstock

Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Die Betreiber der Krypto-Wallet Coinomi weisen jegliche Verantwortung für eine kürzlich entdeckte Sicherheitslücke von sich. Gleichzeitig lehnt Coinomi Schadensersatzforderungen des vermeintlichen Bug-Entdeckers ab.

Der selbsternannte Krypto-Junkie Warith Al Maawali führt derzeit einen erbitterten Kampf mit dem Anbieter der Krypto-Wallet Coinomi. Zu diesem Zweck hat der Omaner eigens eine Homepage eingerichtet, deren Name keinen Hehl aus seiner Haltung gegenüber dem Wallet-Anbieter macht. Auf www.avoid-coinomi.com führt Al Maawali minuziös aus, warum der Herausgeber der Wallet seiner Meinung nach für den Verlust seiner Ersparnisse verantwortlich ist. Nun hat der CTO der Bitcoin-Wallet zurückgeschossen und unterstellt Al Maawali eine erpresserische Vorgehensweise.

Al Maawalis Vorwurf: Die Desktop-Version der Krypto-Wallet sendet Passwörter und Seeds ihm Rahmen der Rechtschreibprüfung unverschlüsselt an Google. So habe er Krypto-Einlagen im Gegenwert von 60.000 bis 70.000 US-Dollar verloren.

Al Maawali reißt der Geduldsfaden

Al Maawali wendete sich zunächst an die Kundenbetreuung von Coinomi, um die Wallet-Betreiber auf den Verlust seiner Rücklagen hinzuweisen. Mit Details hielt er sich dabei zunächst zurück. Er forderte eine Versicherung von Coinomi, dass er sein Geld vollständig zurückerhalten wird. Gleichzeitig drohte er, andernfalls die Schwachstelle zu veröffentlichen, bevor Coinomi reagieren kann. Coinomi forderte im Gegenzug von Al Maawali den Bug verantwortungsvoll offenzulegen und stellte ihm eine Belohnung (Bounty) in Aussicht. Auf Al Maawalis Frage, wie hoch diese ausfallen solle, antwortete Coinomi nicht direkt.

Da sich die Korrespondenz wider die Erwartungen Al Maawalis entwickelte, machte dieser am 26. Februar seine Drohung wahr und seine Geschichte publik. Darin verdächtigt der – mutmaßlich – um seine Einlagen geprellte Hodler den Wallet-Betriebern, ein abgekartertes Spiel zu spielen:

Es würde mich nicht wundern, wenn sie absichtlich diese Backdoor-Verhaltensfunktion entwickelt und einen Insider bei Google hätten, besonders wenn man aus den jüngsten Nachrichten über einen Gründer von Krypto-Exchanges erfährt, der einen seltsamen Tod [mutmaßlich] vortäuscht, während niemand außer ihm Zugang zu den Vermögenswerten der Kryptowährung hat!

Coinomi wiegelt ab

Der Wallet-Anbieter reagierte Tags darauf mit einer Stellungnahme, die Al Maawalis Version in Zweifel zieht. Zwar räumt Coinomi – vertreten durch CTO Angelos Veglektis – ein:

Unsere Ingenieure bestätigten, dass die Rechtschreibprüfung tatsächlich für die Desktop Wallets aktiviert war,

allerdings wurden die Passwörter ihm Rahmen der Rechtschreibprüfung nicht – wie Al Maawali behauptet – als unverschlüsselter Klartext, sondern, eingebettet in eine HTTPS-Anfrage, an Google übermittelt. Somit hätte niemand außer einem möglichen Google-Mitarbeiter Einsicht in den Seed nehmen können – was Al Maawalis Verdacht nicht gerade entkräftet.

Ferner hätte die Google API die Anfragen weder „verarbeitet, [noch] zwischengespeichert oder gespeichert“, sondern wurden von dieser als „Bad Request“ ignoriert. Um sicherzugehen, dass die Daten von Google nicht weiter verarbeitet würden, hat Coinomi Google um eine Stellungnahme gebeten. Diese steht bislang jedoch noch aus.

Zudem liege der Fehler nicht im Quellcode von Coinomi, sondern in einem JxBrowser-Plugin. Diese komme ausschließlich in der –mittlerweile gepatchten –  Desktop-Version  zum Einsatz.

Benutzer der Desktop-Version von Coinomi sind deshalb dazu angehalten, die neueste Version der Wallet zu installieren. Wer die mobile Android- bzw. iOS-Version verwendet, muss indes keine weiteren Schritte unternehmen.

Die nächste Runde – vor Gericht?

Al Maawali hat angekündigt, seinen Feldzug gegen die Wallet-Anbieter vor Gericht fortzusetzen, wenn der Wallet-Anbieter sich nicht dazu bereit erklärt, Verantwortung für den Verlust seiner Coins zu übernehmen. Außerdem ruft Al Maawali weitere eventuelle Opfer auf, seinem Beispiel zu folgen.

Coinomi weist indes darauf hin, dass es außer Al Maawali keine Meldungen über Verluste von Kryptowährungen gegeben habe – und deutet ihrerseits implizit rechtliche Schritte an:

[…] es gibt noch immer einen Weg die Echtheit seiner Forderung zu überprüfen, und wenn die Gelder tatsächlich gestohlen wurden, war es viel wahrscheinlicher, dass ein infizierter Host diese Gelder gestohlen hat, anstatt [Google]. Wenn sich die Behauptung als falsch herausstellt, werden wir nach Mitteln suchen, um die Dinge in Ordnung zu bringen und ein Wiederauftreten zu verhindern.

Angesichts dieser Entwicklung muss sich sich Al Maawali wohl wenig Hoffnung auf die Bug Bounty machen.

Bitcoin & Altcoins kaufen: Kryptowährungen kaufen, verkaufen oder traden – wir haben die besten Broker, Börsen und Zertifikate zusammengestellt: Bitcoin kaufen | Ether kaufen | Ripple kaufen | IOTA kaufen | Broker-Vergleich

Mehr zum Thema:

Ähnliche Artikel

US-Behörde gibt Grayscale Ethereum Trust für Privatanleger frei
US-Behörde gibt Grayscale Ethereum Trust für Privatanleger frei
Ethereum

Die Financial Industry Regulatory Authority (FINRA) gibt den Grayscale Ethereum Trust für Kleinanleger frei.

BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
Altcoins

Berichten der Rundfunkanstalt BBC zufolge plant Facebook den Start seiner eigenen Kryptowährung bereits für das kommende Jahr.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    5 dezentrale Exchanges, die Hodler kennen sollten
    5 dezentrale Exchanges, die Hodler kennen sollten
    Kolumne

    Dezentrale Exchanges gelten als die Zukunft des Krypto-Handels. Und das nicht ohne Grund: Schließlich denken DEX den Grundgedanken von Kryptowährungen, nämlich dessen Peer-to-Peer-Charakter zu Ende. 

    Tone Vays im Interview: „Banken haben nur die Macht, die die Gesellschaft ihnen zugesteht“
    Tone Vays im Interview: „Banken haben nur die Macht, die die Gesellschaft ihnen zugesteht“
    Interview

    Im Juni wird Tone Vays auf der Unchain Convention einen Vortrag halten.

    Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
    Alibaba: Chinas führende Handelsplattform setzt verstärkt auf Blockchain
    Blockchain

    Der chinesische E-Commerce-Riese Alibaba hat ein neues Blockchain-System zum Schutz von geistigen Eigentumsrechten angekündigt.

    Russische Zentralbank denkt über goldgedeckte Kryptowährung nach
    Russische Zentralbank denkt über goldgedeckte Kryptowährung nach
    Politik

    Die Chefin der russischen Zentralbank äußerte sich zum Thema Kryptowährungen.

    Angesagt

    US-Behörde gibt Grayscale Ethereum Trust für Privatanleger frei
    Ethereum

    Die Financial Industry Regulatory Authority (FINRA) gibt den Grayscale Ethereum Trust für Kleinanleger frei.

    BBC: Facebook-Kryptowährung „GlobalCoin“ soll 2020 kommen
    Altcoins

    Berichten der Rundfunkanstalt BBC zufolge plant Facebook den Start seiner eigenen Kryptowährung bereits für das kommende Jahr.

    AT&T-Kunden können Rechnungen ab sofort mit Bitcoin bezahlen
    Bitcoin

    Kunden des Telekommunikationsanbieters AT&T können ihre Rechnungen ab sofort mit Bitcoin bezahlen.

    Das Warten hat ein Ende: So kaufen sich institutionelle Investoren in Bitcoin ein
    Kommentar

    Das Big Money der Family Offices, Hedgefonds und Vermögensverwaltungen entscheidet darüber, ob eine Anlageklasse fällt oder steigt.

    ×

    Warte mal kurz...

    Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene:
    Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird.

    Warte mal kurz ... !

    Kennst du schon unseren Newsletter? Wir versorgen dich kostenlos mit den spannendsten News der Krypto- und Blockchainszene: