Coinomi: Bitcoin-Wallet-Anbieter reagiert auf Sicherheitsbedenken

Die Betreiber der Krypto-Wallet Coinomi weisen jegliche Verantwortung für eine kürzlich entdeckte Sicherheitslücke von sich. Gleichzeitig lehnt Coinomi Schadensersatzforderungen des vermeintlichen Bug-Entdeckers ab.

Christopher Klee
Teilen

Beitragsbild: Shutterstock

Der selbsternannte Krypto-Junkie Warith Al Maawali führt derzeit einen erbitterten Kampf mit dem Anbieter der Krypto-Wallet Coinomi. Zu diesem Zweck hat der Omaner eigens eine Homepage eingerichtet, deren Name keinen Hehl aus seiner Haltung gegenüber dem Wallet-Anbieter macht. Auf www.avoid-coinomi.com führt Al Maawali minuziös aus, warum der Herausgeber der Wallet seiner Meinung nach für den Verlust seiner Ersparnisse verantwortlich ist. Nun hat der CTO der Bitcoin-Wallet zurückgeschossen und unterstellt Al Maawali eine erpresserische Vorgehensweise.

Al Maawalis Vorwurf: Die Desktop-Version der Krypto-Wallet sendet Passwörter und Seeds ihm Rahmen der Rechtschreibprüfung unverschlüsselt an Google. So habe er Krypto-Einlagen im Gegenwert von 60.000 bis 70.000 US-Dollar verloren.

Al Maawali reißt der Geduldsfaden

Al Maawali wendete sich zunächst an die Kundenbetreuung von Coinomi, um die Wallet-Betreiber auf den Verlust seiner Rücklagen hinzuweisen. Mit Details hielt er sich dabei zunächst zurück. Er forderte eine Versicherung von Coinomi, dass er sein Geld vollständig zurückerhalten wird. Gleichzeitig drohte er, andernfalls die Schwachstelle zu veröffentlichen, bevor Coinomi reagieren kann. Coinomi forderte im Gegenzug von Al Maawali den Bug verantwortungsvoll offenzulegen und stellte ihm eine Belohnung (Bounty) in Aussicht. Auf Al Maawalis Frage, wie hoch diese ausfallen solle, antwortete Coinomi nicht direkt.

Da sich die Korrespondenz wider die Erwartungen Al Maawalis entwickelte, machte dieser am 26. Februar seine Drohung wahr und seine Geschichte publik. Darin verdächtigt der – mutmaßlich – um seine Einlagen geprellte Hodler den Wallet-Betriebern, ein abgekartertes Spiel zu spielen:

Es würde mich nicht wundern, wenn sie absichtlich diese Backdoor-Verhaltensfunktion entwickelt und einen Insider bei Google hätten, besonders wenn man aus den jüngsten Nachrichten über einen Gründer von Krypto-Exchanges erfährt, der einen seltsamen Tod [mutmaßlich] vortäuscht, während niemand außer ihm Zugang zu den Vermögenswerten der Kryptowährung hat!

Coinomi wiegelt ab

Der Wallet-Anbieter reagierte Tags darauf mit einer Stellungnahme, die Al Maawalis Version in Zweifel zieht. Zwar räumt Coinomi – vertreten durch CTO Angelos Veglektis – ein:

Unsere Ingenieure bestätigten, dass die Rechtschreibprüfung tatsächlich für die Desktop Wallets aktiviert war,

allerdings wurden die Passwörter ihm Rahmen der Rechtschreibprüfung nicht – wie Al Maawali behauptet – als unverschlüsselter Klartext, sondern, eingebettet in eine HTTPS-Anfrage, an Google übermittelt. Somit hätte niemand außer einem möglichen Google-Mitarbeiter Einsicht in den Seed nehmen können – was Al Maawalis Verdacht nicht gerade entkräftet.

Ferner hätte die Google API die Anfragen weder „verarbeitet, [noch] zwischengespeichert oder gespeichert“, sondern wurden von dieser als „Bad Request“ ignoriert. Um sicherzugehen, dass die Daten von Google nicht weiter verarbeitet würden, hat Coinomi Google um eine Stellungnahme gebeten. Diese steht bislang jedoch noch aus.

Zudem liege der Fehler nicht im Quellcode von Coinomi, sondern in einem JxBrowser-Plugin. Diese komme ausschließlich in der –mittlerweile gepatchten –  Desktop-Version  zum Einsatz.

Benutzer der Desktop-Version von Coinomi sind deshalb dazu angehalten, die neueste Version der Wallet zu installieren. Wer die mobile Android- bzw. iOS-Version verwendet, muss indes keine weiteren Schritte unternehmen.

Die nächste Runde – vor Gericht?

Al Maawali hat angekündigt, seinen Feldzug gegen die Wallet-Anbieter vor Gericht fortzusetzen, wenn der Wallet-Anbieter sich nicht dazu bereit erklärt, Verantwortung für den Verlust seiner Coins zu übernehmen. Außerdem ruft Al Maawali weitere eventuelle Opfer auf, seinem Beispiel zu folgen.

Coinomi weist indes darauf hin, dass es außer Al Maawali keine Meldungen über Verluste von Kryptowährungen gegeben habe – und deutet ihrerseits implizit rechtliche Schritte an:

[…] es gibt noch immer einen Weg die Echtheit seiner Forderung zu überprüfen, und wenn die Gelder tatsächlich gestohlen wurden, war es viel wahrscheinlicher, dass ein infizierter Host diese Gelder gestohlen hat, anstatt [Google]. Wenn sich die Behauptung als falsch herausstellt, werden wir nach Mitteln suchen, um die Dinge in Ordnung zu bringen und ein Wiederauftreten zu verhindern.

Angesichts dieser Entwicklung muss sich sich Al Maawali wohl wenig Hoffnung auf die Bug Bounty machen.

Du willst Sei (SEI) kaufen oder verkaufen?
Wir zeigen dir in unserem Leitfaden, wie und wo du einfach und seriös Sei (SEI) Token/Coins kaufen kannst.
SEI Coin kaufen