Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Quelle: Shutterstock

Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Die Betreiber der Krypto-Wallet Coinomi weisen jegliche Verantwortung für eine kürzlich entdeckte Sicherheitslücke von sich. Gleichzeitig lehnt Coinomi Schadensersatzforderungen des vermeintlichen Bug-Entdeckers ab.

Der selbsternannte Krypto-Junkie Warith Al Maawali führt derzeit einen erbitterten Kampf mit dem Anbieter der Krypto-Wallet Coinomi. Zu diesem Zweck hat der Omaner eigens eine Homepage eingerichtet, deren Name keinen Hehl aus seiner Haltung gegenüber dem Wallet-Anbieter macht. Auf www.avoid-coinomi.com führt Al Maawali minuziös aus, warum der Herausgeber der Wallet seiner Meinung nach für den Verlust seiner Ersparnisse verantwortlich ist. Nun hat der CTO der Bitcoin-Wallet zurückgeschossen und unterstellt Al Maawali eine erpresserische Vorgehensweise.

Al Maawalis Vorwurf: Die Desktop-Version der Krypto-Wallet sendet Passwörter und Seeds ihm Rahmen der Rechtschreibprüfung unverschlüsselt an Google. So habe er Krypto-Einlagen im Gegenwert von 60.000 bis 70.000 US-Dollar verloren.

Al Maawali reißt der Geduldsfaden

Al Maawali wendete sich zunächst an die Kundenbetreuung von Coinomi, um die Wallet-Betreiber auf den Verlust seiner Rücklagen hinzuweisen. Mit Details hielt er sich dabei zunächst zurück. Er forderte eine Versicherung von Coinomi, dass er sein Geld vollständig zurückerhalten wird. Gleichzeitig drohte er, andernfalls die Schwachstelle zu veröffentlichen, bevor Coinomi reagieren kann. Coinomi forderte im Gegenzug von Al Maawali den Bug verantwortungsvoll offenzulegen und stellte ihm eine Belohnung (Bounty) in Aussicht. Auf Al Maawalis Frage, wie hoch diese ausfallen solle, antwortete Coinomi nicht direkt.

Da sich die Korrespondenz wider die Erwartungen Al Maawalis entwickelte, machte dieser am 26. Februar seine Drohung wahr und seine Geschichte publik. Darin verdächtigt der – mutmaßlich – um seine Einlagen geprellte Hodler den Wallet-Betriebern, ein abgekartertes Spiel zu spielen:

Es würde mich nicht wundern, wenn sie absichtlich diese Backdoor-Verhaltensfunktion entwickelt und einen Insider bei Google hätten, besonders wenn man aus den jüngsten Nachrichten über einen Gründer von Krypto-Exchanges erfährt, der einen seltsamen Tod [mutmaßlich] vortäuscht, während niemand außer ihm Zugang zu den Vermögenswerten der Kryptowährung hat!

Coinomi wiegelt ab


[Anzeige]
Bitcoin kaufen mit dem Bitwala Konto. Warum ein Bankkonto bei Bitwala? Ein Bankkonto “Made in Germany” mit Einlagensicherung bis zu 100.000 Euro; 24/7 Bitcoin Handel mit schneller Liquidität; Gehandelt werden ausschließlich ‘echte’ Bitcoin – keine Finanzderivate wie CFDs; Sichere Nutzerkontrolle über das Bitcoin Wallet und den private Schlüssel; Mit der kontaktlosen Debit-Mastercard weltweit abheben und bezahlen.

Jetzt kostenloses Konto eröffnen

Der Wallet-Anbieter reagierte Tags darauf mit einer Stellungnahme, die Al Maawalis Version in Zweifel zieht. Zwar räumt Coinomi – vertreten durch CTO Angelos Veglektis – ein:

Unsere Ingenieure bestätigten, dass die Rechtschreibprüfung tatsächlich für die Desktop Wallets aktiviert war,

allerdings wurden die Passwörter ihm Rahmen der Rechtschreibprüfung nicht – wie Al Maawali behauptet – als unverschlüsselter Klartext, sondern, eingebettet in eine HTTPS-Anfrage, an Google übermittelt. Somit hätte niemand außer einem möglichen Google-Mitarbeiter Einsicht in den Seed nehmen können – was Al Maawalis Verdacht nicht gerade entkräftet.

Ferner hätte die Google API die Anfragen weder „verarbeitet, [noch] zwischengespeichert oder gespeichert“, sondern wurden von dieser als „Bad Request“ ignoriert. Um sicherzugehen, dass die Daten von Google nicht weiter verarbeitet würden, hat Coinomi Google um eine Stellungnahme gebeten. Diese steht bislang jedoch noch aus.

Zudem liege der Fehler nicht im Quellcode von Coinomi, sondern in einem JxBrowser-Plugin. Diese komme ausschließlich in der –mittlerweile gepatchten –  Desktop-Version  zum Einsatz.

Benutzer der Desktop-Version von Coinomi sind deshalb dazu angehalten, die neueste Version der Wallet zu installieren. Wer die mobile Android- bzw. iOS-Version verwendet, muss indes keine weiteren Schritte unternehmen.

Die nächste Runde – vor Gericht?

Al Maawali hat angekündigt, seinen Feldzug gegen die Wallet-Anbieter vor Gericht fortzusetzen, wenn der Wallet-Anbieter sich nicht dazu bereit erklärt, Verantwortung für den Verlust seiner Coins zu übernehmen. Außerdem ruft Al Maawali weitere eventuelle Opfer auf, seinem Beispiel zu folgen.

Coinomi weist indes darauf hin, dass es außer Al Maawali keine Meldungen über Verluste von Kryptowährungen gegeben habe – und deutet ihrerseits implizit rechtliche Schritte an:

[…] es gibt noch immer einen Weg die Echtheit seiner Forderung zu überprüfen, und wenn die Gelder tatsächlich gestohlen wurden, war es viel wahrscheinlicher, dass ein infizierter Host diese Gelder gestohlen hat, anstatt [Google]. Wenn sich die Behauptung als falsch herausstellt, werden wir nach Mitteln suchen, um die Dinge in Ordnung zu bringen und ein Wiederauftreten zu verhindern.

Angesichts dieser Entwicklung muss sich sich Al Maawali wohl wenig Hoffnung auf die Bug Bounty machen.

Mehr zum Thema:

Ähnliche Artikel

Libra: Facebook plant mehrere Stable Coins
Libra: Facebook plant mehrere Stable Coins
Altcoins

Facebooks ambitioniertes Projekt einer eigenen Kryptowährung hat bislang eine Reihe von Rückschlägen erlitten. Das Unternehmen möchte sich aber von der Politik nicht den Wind aus den Segeln nehmen lassen. Daher plant Facebook nun die Einführung verschiedener Stable Coins. Getreu dem Motto: Wenn es mit einem Coin nicht klappt, dann mit mehreren.

XRP-Panikmache: Ripple sieht Bots als Urheber
XRP-Panikmache: Ripple sieht Bots als Urheber
Altcoins

Ripple hat seinen XRP-Marktbericht für das dritte Quartal 2019 veröffentlicht. Darin gibt das Unternehmen einen Überblick über die Entwicklung von XRP-Kurs, -Handelsvolumen und -Verkaufspolitik in den zurückliegenden drei Monaten. Darüber hinaus nimmt sich Ripple dieses Mal auch seine Kritiker zur Brust. Diese werfen dem kalifornischen FinTech-Unternehmen eine bewusste Manipulation des XRP-Kurses vor.

Newsletter

Die aktuellsten News kostenlos per E-Mail

Aktuell

Libra: Facebook plant mehrere Stable Coins
Libra: Facebook plant mehrere Stable Coins
Altcoins

Facebooks ambitioniertes Projekt einer eigenen Kryptowährung hat bislang eine Reihe von Rückschlägen erlitten. Das Unternehmen möchte sich aber von der Politik nicht den Wind aus den Segeln nehmen lassen. Daher plant Facebook nun die Einführung verschiedener Stable Coins. Getreu dem Motto: Wenn es mit einem Coin nicht klappt, dann mit mehreren.

Bitwala im Test: Bitcoin und Bankkonto unter einem Dach
Bitwala im Test: Bitcoin und Bankkonto unter einem Dach
Sponsored

Das Berliner FinTech-Unternehmen Bitwala bietet Tradern eine innovative Kombination aus Bitcoin Wallet, Brokerservice und Bankkonto an. Wir haben die erste Blockchain Banking App „Made in Germany“ unter die Lupe genommen. Fazit: Bitwala lässt die Konkurrenz beim Kauf und Verkauf von Bitcoin in Sachen Geschwindigkeit, Friction Costs und Transparenz deutlich hinter sich.

XRP-Panikmache: Ripple sieht Bots als Urheber
XRP-Panikmache: Ripple sieht Bots als Urheber
Altcoins

Ripple hat seinen XRP-Marktbericht für das dritte Quartal 2019 veröffentlicht. Darin gibt das Unternehmen einen Überblick über die Entwicklung von XRP-Kurs, -Handelsvolumen und -Verkaufspolitik in den zurückliegenden drei Monaten. Darüber hinaus nimmt sich Ripple dieses Mal auch seine Kritiker zur Brust. Diese werfen dem kalifornischen FinTech-Unternehmen eine bewusste Manipulation des XRP-Kurses vor.

Bundesfinanzministerium: Monero (XMR) gefährlicher als Bitcoin (BTC)
Bundesfinanzministerium: Monero (XMR) gefährlicher als Bitcoin (BTC)
Regulierung

Das Bundesfinanzministerium veröffentlichte die „Erste Nationale Risikoanalyse 2018/2019“. Darin untersuchte die Behörde, inwiefern Bitcoin & Co. die Finanzsicherheit gefährden

Angesagt

Brexit naht – Eine Chance für den Bitcoin-Kurs?
Regulierung

Der Brexit rückt mit jedem Tag näher. Gleichzeitig erholt sich der Bitcoin-Kurs von seinen vergangenen Rückschlägen. Der Widerstandsbereich um die 8.000-US-Dollar-Marke scheint bislang zu halten. Welchen Einfluss kann der Brexit auf den Bitcoin-Kurs und das Blockchain-Ökosystem haben?

SIM-Karten-Tausch: Klage gegen US-Mobilfunkanbieter AT&T
Unternehmen

Der Kalifornier Seth Shapiro ist nicht nur ein zweifach mit dem Emmy Award ausgezeichneter Medien- und Technologieexperte, Autor und Professor an der School of Cinematic Arts der Universität von Südkalifornien, sondern jetzt auch Kläger gegen den Mobilfunkanbieter AT&T. Bei der Klage geht es insgesamt um einen Schaden von 1,8 Millionen US-Dollar und einen mysteriösen SIM-Karten-Tausch.

Libra-Chef ist Bitcoin Fan, CBDC kommt: Das Meinungs-ECHO
Szene

Der Libra-Chef bregreift Bitcoin als digitales Gold, während der BaFin-Chef verhindern will, dass aus Libra eine Parallelwährung wird, die Regulierungsbehörden vor neue Herausforderungen stellt. Unterdessen unterdessen wirft der selbsternannte Bitcoin-Erfinder Craig Wright die Frage auf, ob im White Paper plagiiert wurde. Das Meinungs-ECHO.

Bitcoin, Betrug und Pornographie – Das Regulierungs-ECHO
Regulierung

Internationale Behörden sprengen den nach Datenvolumen bisher größten Darknet-Ring für Kinderpornographie dank Bitcoin. USA und Kanada denken derweil über ein digitales Zentralbankengeld nach und Wilshire Phoenix versucht, einen Bitcoin ETF durchzuboxen. Das Regulierungs-ECHO.

×
Anzeige