This post is also available in: English

Es wird berichtet, dass ein Benutzer der Coinomi Wallet eine Sicherheitslücke gefunden hätte. Laut Aussage der Entwickler habe er daraufhin versucht sie zu erpressen.

Die Multicoin-Wallet Coinomi scheint durch eine Sicherheitslücke angreifbar zu sein, die mit der Rechtschreib-API von Google und dem Recovery Seed zusammenhängt. Die Schwachstelle wurde mittlerweile behoben und betraf wahrscheinlich nur die Benutzer der Desktop Wallet, falls sie diese dazu verwendet haben, eine bereits existierende Wallet über ihre Wiederherstellungsphrase neu aufzusetzen. Entdeckt wurde die Schwachstelle von Warith Al Maawali, wobei Al Maawali Anfang des Monats behauptete, dass Guthaben verloren gegangen sei, was wenige Tage später von dem Entwickler Luke Childs einer größeren Öffentlichkeit präsentiert wurde.

Die Schwachstelle wurde inzwischen auch durch eine offizielle Erklärung des Coinomi-Teams bestätigt, wobei einige Details geklärt werden konnten. Anscheinend kam dabei auch heraus, dass Maawali ein Lösegeld von 17 Bitcoin gefordert hätte, wodurch gewisse Zweifel an der Aussage aufkamen, dass Maawali selbst Guthaben abhandengekommen sei:

„Warith Al Maawali weigerte sich mit uns zu kooperieren und drohte damit an die Öffentlichkeit zu gehen, wenn wir nicht ein Lösegeld von 17 BTC bezahlen würden, was den angeblich „gehackten“ Geldern entsprach (laut Warith Al Maawali von Google selbst gestohlen!), die Maawali möglicherweise aber weiterhin selbst unter Kontrolle hatte…“.

Im Verlauf des Berichts stellte Coinomi zudem die Firmenpolitik zu Erpressungsversuchen klar:

„Wir wollen für die Zukunft klarstellen, dass wir nicht bereit sind mit Erpressern zu verhandeln und wir auch in diesen Fällen transparent und offen mit der Krypto-Community umgehen wollen, für die wir schon seit 5 Jahren Tag und Nacht an einem besseren Produkt arbeiten.“

Coinomis angespanntes Verhältnis zu Sicherheitsforschern

In der Vergangenheit kam es bereits häufiger zu Streitereien zwischen Coinomi und externen Entwicklern, die auf Fehler in der Software gestoßen waren, wobei auch 2017 eine der heute involvierten Personen beteiligt war. Luke Childs wies auf GitHub darauf hin, dass es möglich sei die Adressen einer Wallet in Klartext zu extrahieren. Als er diesen Fund einige Zeit später an die Öffentlichkeit brachte, reagierte Coinomi mit der Sorge, dass die Benutzer sich, „aufgrund des FUD“, nun eventuell an weniger „sichere Alternativen wenden würden. Auch dieses Mal kritisierte Coinomi die Rolle Childs, der auch an dieser Veröffentlichung beteiligt war:

„Wie bereits 2017 handelten Luke Childs und Jonathan Sterling völlig unverantwortlich, da sie Sicherheitslücken an die Öffentlichkeit brachten, bevor es uns möglich war, diese zu schließen (sie haben sich nicht einmal per Supportticket bei uns gemeldet). Hierdurch wurde das Guthaben der betroffenen Coinomi-Nutzer ganz klar gefährdet, sollte sich ein Weg finden, diese Sicherheitslücke auszunutzen.“

Coinomi schloss das Statement mit einer Kritik gegenüber den beteiligten Personen:

„Wenn sich der Staub gelegt hat, dürfen wir die Namen derer nicht vergessen, denen Profilierung mehr bedeutet hat, als die Sicherheit der Nutzer.“

Sicherheit wächst durch eine engagierte Community und Bug-Jäger

Da sich der Sicherheitsstandard bei Kryptowährungen schnell ändern kann, gibt es viele potenzielle Bedrohungen für die Guthaben der Nutzer. Hierbei sind kompetente Entwickler und ehrliche Bug-Jäger die wichtigste Stütze des jeweiligen Projektes. Durch Bounty-Programme, Dash vertraut hierbei auf Bugcrowd, werden spezifische Anreize für Forscher gesetzt, durch die diese davon abgehalten werden, Rufschädigung oder Erpressung in Betracht zu ziehen, da sie davon weniger profitieren würden, als von Kooperation.