COIN TOKYO

¥951,712
BTC -0.29%
¥29,219
ETH -0.35%
¥44.73
XRP -0.57%
¥47,759
BCH -0.92%
  • 2019/02/28
  • コイン東京編集部

暗号ウォレットCoinomi、約8億円相当の資産の盗難を訴えるユーザーの主張を否定

このエントリーをはてなブックマークに追加
27日、ユーザーWarith Al Maawali氏がプラットフォームの脆弱性により、7万ドル(約8億円)相当のデジタル資産を失ったとRedditで訴えました。同日、暗号ウォレット会社Coinomiは、調査結果をブログで表明。Maawali氏の主張を否定しています。

Googleスペルチェック機能に基づく主張

MaawaliがRedditで記した内容によると、Coinomiのデスクトップウォレットから不当に資金が奪われた後に、「シード・フレーズ(暗号資産へのアクセスに使用する約12単語)」がHTTPリクエストを通して送信されていることに気づいたという。

デスクトップウォレットにはスペルチェック機能が組み込まれているため、シードフレーズがプレーンテキストでGoogleに紐づくアドレスに送信され、この脆弱性のためにウォレットがハッキングされたと主張しています。

「つまり、Googleチームが所有するドメイン(googleapis.com)に送信されたHTTPリクエストにアクセスした誰かがパスフレーズを取り出し、それを使って私の6万~7万ドル相当の暗号資産を盗んだ(に違いない)。」

一方、Coinomiは、Googleスペルチェック機能の設定がオンになっている事は認めました。しかし、その他の主張は退けています;
 
・シードフレーズはプレーンテキストで送信されていません。Googleが唯一の受信者であるHTTPSリクエスト内にカプセル化されている。
・ユーザーが意図的にデスクトップウォレットを復元しない限り、シードフレーズはまったく送信されない。
・Google APIに送信されたスペルチェックリクエストは処理もキャッシュも保存もされない。

「これは当社のソースコードのバグではありませんでした。Desktopウォレットのみで使用されるプラグイン設定オプションに拠るものです。このプラグインは最近のアップデートでスペルチェック機能をデフォルトで有効となりました。そして6日前に(Google)jxBrowserプラグインチームによって修正されました。」

Coinomiは、この問題の影響を受けたユーザーの報告は他に無いとした。また、Googleの誰かがMaawaliの資金を盗んだとは考えていない。;

「ここ数日、Maawaliは情報開示を繰り返し拒み、我々を脅迫し続けました。『ハッキングされた資金』を補償する17 BTCをすぐに支払わなければ、この件を公にすると…

これまでにMaawali以外、Desktopウォレットのハッキング報告はありません。彼の主張の信憑性は引き続き調査しています。また、仮に資産が本当に奪われている場合、Googleが資金を盗んだというより、感染したホストが原因である可能性の方が高い。主張の虚偽が証明された場合は、事態を収拾し、再発防止策を模索します。」

Coinomiによると、この問題はAndroidユーザーやiOSユーザーには影響を及ぼさない。デスクトップウォレットユーザーは最新バージョンにアップデートする様に要請しています。

その後、Maawali氏は、別の2人のユーザーが同様の被害を受けているとして、ページリンクを提示しました。


関連記事

仮想通貨の最新情報をお届けします!

関連キーワード

人気記事ランキングまとめ

もっと見る