Anzeige
Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Quelle: Shutterstock

Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Die Betreiber der Krypto-Wallet Coinomi weisen jegliche Verantwortung für eine kürzlich entdeckte Sicherheitslücke von sich. Gleichzeitig lehnt Coinomi Schadensersatzforderungen des vermeintlichen Bug-Entdeckers ab.

Der selbsternannte Krypto-Junkie Warith Al Maawali führt derzeit einen erbitterten Kampf mit dem Anbieter der Krypto-Wallet Coinomi. Zu diesem Zweck hat der Omaner eigens eine Homepage eingerichtet, deren Name keinen Hehl aus seiner Haltung gegenüber dem Wallet-Anbieter macht. Auf www.avoid-coinomi.com führt Al Maawali minuziös aus, warum der Herausgeber der Wallet seiner Meinung nach für den Verlust seiner Ersparnisse verantwortlich ist. Nun hat der CTO der Bitcoin-Wallet zurückgeschossen und unterstellt Al Maawali eine erpresserische Vorgehensweise.

Al Maawalis Vorwurf: Die Desktop-Version der Krypto-Wallet sendet Passwörter und Seeds ihm Rahmen der Rechtschreibprüfung unverschlüsselt an Google. So habe er Krypto-Einlagen im Gegenwert von 60.000 bis 70.000 US-Dollar verloren.

Al Maawali reißt der Geduldsfaden

Al Maawali wendete sich zunächst an die Kundenbetreuung von Coinomi, um die Wallet-Betreiber auf den Verlust seiner Rücklagen hinzuweisen. Mit Details hielt er sich dabei zunächst zurück. Er forderte eine Versicherung von Coinomi, dass er sein Geld vollständig zurückerhalten wird. Gleichzeitig drohte er, andernfalls die Schwachstelle zu veröffentlichen, bevor Coinomi reagieren kann. Coinomi forderte im Gegenzug von Al Maawali den Bug verantwortungsvoll offenzulegen und stellte ihm eine Belohnung (Bounty) in Aussicht. Auf Al Maawalis Frage, wie hoch diese ausfallen solle, antwortete Coinomi nicht direkt.

Da sich die Korrespondenz wider die Erwartungen Al Maawalis entwickelte, machte dieser am 26. Februar seine Drohung wahr und seine Geschichte publik. Darin verdächtigt der – mutmaßlich – um seine Einlagen geprellte Hodler den Wallet-Betriebern, ein abgekartertes Spiel zu spielen:

Es würde mich nicht wundern, wenn sie absichtlich diese Backdoor-Verhaltensfunktion entwickelt und einen Insider bei Google hätten, besonders wenn man aus den jüngsten Nachrichten über einen Gründer von Krypto-Exchanges erfährt, der einen seltsamen Tod [mutmaßlich] vortäuscht, während niemand außer ihm Zugang zu den Vermögenswerten der Kryptowährung hat!

Coinomi wiegelt ab

Der Wallet-Anbieter reagierte Tags darauf mit einer Stellungnahme, die Al Maawalis Version in Zweifel zieht. Zwar räumt Coinomi – vertreten durch CTO Angelos Veglektis – ein:

Unsere Ingenieure bestätigten, dass die Rechtschreibprüfung tatsächlich für die Desktop Wallets aktiviert war,

allerdings wurden die Passwörter ihm Rahmen der Rechtschreibprüfung nicht – wie Al Maawali behauptet – als unverschlüsselter Klartext, sondern, eingebettet in eine HTTPS-Anfrage, an Google übermittelt. Somit hätte niemand außer einem möglichen Google-Mitarbeiter Einsicht in den Seed nehmen können – was Al Maawalis Verdacht nicht gerade entkräftet.

Ferner hätte die Google API die Anfragen weder „verarbeitet, [noch] zwischengespeichert oder gespeichert“, sondern wurden von dieser als „Bad Request“ ignoriert. Um sicherzugehen, dass die Daten von Google nicht weiter verarbeitet würden, hat Coinomi Google um eine Stellungnahme gebeten. Diese steht bislang jedoch noch aus.

Zudem liege der Fehler nicht im Quellcode von Coinomi, sondern in einem JxBrowser-Plugin. Diese komme ausschließlich in der –mittlerweile gepatchten –  Desktop-Version  zum Einsatz.

Benutzer der Desktop-Version von Coinomi sind deshalb dazu angehalten, die neueste Version der Wallet zu installieren. Wer die mobile Android- bzw. iOS-Version verwendet, muss indes keine weiteren Schritte unternehmen.

Die nächste Runde – vor Gericht?

Al Maawali hat angekündigt, seinen Feldzug gegen die Wallet-Anbieter vor Gericht fortzusetzen, wenn der Wallet-Anbieter sich nicht dazu bereit erklärt, Verantwortung für den Verlust seiner Coins zu übernehmen. Außerdem ruft Al Maawali weitere eventuelle Opfer auf, seinem Beispiel zu folgen.

Coinomi weist indes darauf hin, dass es außer Al Maawali keine Meldungen über Verluste von Kryptowährungen gegeben habe – und deutet ihrerseits implizit rechtliche Schritte an:

[…] es gibt noch immer einen Weg die Echtheit seiner Forderung zu überprüfen, und wenn die Gelder tatsächlich gestohlen wurden, war es viel wahrscheinlicher, dass ein infizierter Host diese Gelder gestohlen hat, anstatt [Google]. Wenn sich die Behauptung als falsch herausstellt, werden wir nach Mitteln suchen, um die Dinge in Ordnung zu bringen und ein Wiederauftreten zu verhindern.

Angesichts dieser Entwicklung muss sich sich Al Maawali wohl wenig Hoffnung auf die Bug Bounty machen.

Bitcoin & Altcoins kaufen: Kryptowährungen kaufen, verkaufen oder traden – wir haben die besten Broker, Börsen und Zertifikate zusammengestellt: Bitcoin kaufen | Ether kaufen | Ripple kaufen | IOTA kaufen | Broker-Vergleich

Anzeige

Ähnliche Artikel

Free Money! Wie Justin Sun für TRON neue Nutzer kauft
Free Money! Wie Justin Sun für TRON neue Nutzer kauft
Altcoins

Justin Sun ist der Gründer und CEO von TRON. Das Blockchain-Projekt ist unter anderem darauf ausgelegt, der zweitgrößten Kryptowährung Ether und der Ethereum Blockchain den Rang streitig zu machen.

Die Top Bitcoin-, Blockchain- und Altcoin-News der Woche: Der BTC-ECHO-Newsflash
Die Top Bitcoin-, Blockchain- und Altcoin-News der Woche: Der BTC-ECHO-Newsflash
Bitcoin

Ripple beschäftigt eine Privat-Armee an Bots. Das Handelsvolumen von Bitcoin steigt derweil und die Lightning Torch scheint langsam zu einem kleinen Flächenbrand auszuarten.

Newsletter

Die besten News kostenlos per E-Mail

Finde einen Job mit Zukunft

    Aktuell

    Shorting und Margin Selling in der Kritik: Das Regulierungs-ECHO
    Shorting und Margin Selling in der Kritik: Das Regulierungs-ECHO
    Regulierung

    In Thailand gibt es Aussichten auf eine Bitcoin-Börse für institutionelle Anleger.

    Free Money! Wie Justin Sun für TRON neue Nutzer kauft
    Free Money! Wie Justin Sun für TRON neue Nutzer kauft
    Altcoins

    Justin Sun ist der Gründer und CEO von TRON. Das Blockchain-Projekt ist unter anderem darauf ausgelegt, der zweitgrößten Kryptowährung Ether und der Ethereum Blockchain den Rang streitig zu machen.

    Die Top Bitcoin-, Blockchain- und Altcoin-News der Woche: Der BTC-ECHO-Newsflash
    Die Top Bitcoin-, Blockchain- und Altcoin-News der Woche: Der BTC-ECHO-Newsflash
    Bitcoin

    Ripple beschäftigt eine Privat-Armee an Bots. Das Handelsvolumen von Bitcoin steigt derweil und die Lightning Torch scheint langsam zu einem kleinen Flächenbrand auszuarten.

    Bitmain in Bullenstimmung: 200.000 neue Miner in China geplant
    Bitmain in Bullenstimmung: 200.000 neue Miner in China geplant
    Mining

    Mining-Gigant Bitmain plant Quellen zufolge große Investitionen im chinesischen Sichuan.

    Angesagt

    Cryptopia meldet sich zurück – Die Bitcoin-Börse nimmt den Handel nach Hackerangriff wieder auf
    Invest

    Die neuseeländische Bitcoin-Börse Cryptopia gab die Wiedereröffnung ihrer Handelsplattform bekannt.

    Crypto-Conference.Com: Blockchain-Konferenz in Berlin
    Krypto

    In wenigen Tagen startet die C³ Crypto Conference in Berlin, das Highlight der Berlin Blockchain Week 2019.

    Sirin Labs und MEW integrieren Ether-Wallet in Finney-Smartphone
    Blockchain

    Das Blockchain-Start-up Sirin Labs arbeitet in Zukunft mit MyEtherWallet (MEW) daran, sein Smartphone Finney mit der Ether-Wallet auszustatten.

    Ist das die sicherste Bitcoin-Wallet der Welt?
    Krypto

    Chronische HODLer und alle anderen, die in stetiger Sorge auf ihre digitalen Ersparnisse schielen, dürfen sich freuen: Die neueste Version der bekannten GreenAdress-Bitcoin-Mobile-Wallet verspricht noch mehr Sicherheit als das Vorgänger-Modell, das ja auch keinen schlechten Ruf hatte.

    Anzeige
    ×