资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
硬件钱包CEO评论Coinomi事件:软件钱包是灾难的根源
硬件钱包Ledger首席执行官发表评论称:"Coinomi事件再次证明软件钱包是灾难的根源。当你将资产委托给软件钱包时,你实际上是在将私钥暴露在互联网上,使其容易受到攻击。"
Coinomi钱包安全问题引发争议
Coinomi加密货币钱包自称是"值得信赖的区块链接口",提供"安全存储、管理和交易比特币"及其他加密货币的功能。其网站声明至今从未"被黑客入侵或受到其他形式的破坏"。但最近曝出的安全漏洞使这一声明受到质疑。
Coinomi在Medium上对此事做出回应,称桌面钱包确实启用了拼写检查功能,但种子短语并非以明文发送,而是"封装在HTTPS请求中,Google是唯一接收方"。该公司补充说,Google没有处理、缓存或存储这些请求。该问题已于六天前修复。
安全顾问的指控
安全顾问Warith Al Maawali在一份报告中声称,他在使用Coinomi钱包时损失了6万至7万美元。他认为Coinomi内置的拼写检查器自动检查了他的种子短语,导致其以明文形式发送到Google旗下的网站。这意味着它可能被拦截,从而导致资金损失。Reddit上也有其他类似的说法。
虽然很难验证这些说法是否属实,但它确实突显了一个更大的漏洞:种子短语以及在连接到互联网的计算机上输入它们所存在的危险。
事件详细经过
Al Maawali向Decrypt透露,他使用Coinomi钱包中的以太坊种子短语来访问他拥有的基于以太坊的代币,这些代币不受他正在使用的Exodus加密钱包支持。他表示,最初一切正常,代币显示出来,但几天后,钱包就被清空了。
为此,他进行了一些研究,发现了他认为Coinomi钱包中存在的一个关键漏洞。在输入种子短语时,它会被拼写检查器处理。这意味着整个种子短语被发送到Google旗下的网站。他上传了一段视频,供任何人复制该过程并查看漏洞是否存在。
技术专家观点
程序员Martin Habovštiak在Twitter上证实该漏洞确实存在,但认为损失可能有更险恶的原因。Habovštiak认为,资金更有可能是通过恶意软件被盗,或者Maawali将代币发送到他拥有的另一个账户,以使其看起来像是被盗,并试图以此获得双倍赔偿。
然而,也有其他关于Coinomi钱包资金消失的报告——这对于任何软件钱包来说都不罕见。Reddit上有两个帖子,用户声称他们的资金从Coinomi钱包中消失了。不过,这两份帖子都没有具体说明他们是否将种子短语导入了钱包。
Coinomi的回应
Al Maawali还提供了他声称与Coinomi支持团队的对话截图,其中他们似乎承认该漏洞存在,但否认这是造成资金损失的原因。这段对话尚未得到独立验证。
这个问题引发了人们对Coinomi面临的其他问题的关注。开源软件开发人员Luke Childs指责该应用程序在发送用户信息时缺乏必要的加密措施。Coin Flow联合创始人Jonathan Sterling的一篇博客文章更详细地探讨了这些问题,并提供了据称是Coinomi否认这些指控的推文截图。
结论
虽然有证据表明该漏洞确实存在,但要验证它是否是资金被盗的原因则要困难得多。资金被盗还存在许多其他可能性,包括恶意软件或其他加密钱包中的漏洞——如果确实是被盗的话。但这一漏洞证明,加密钱包提供商在安全方面需要跳出固有思维模式,但也不能太过。
【本文已更新Coinomi的回应】
