В последние годы криптовалюты завоевали огромную популярность, становясь не только финансовым инструментом, но и объектом активного внимания киберпреступников. Безопасность цифровых активов зависит от множества факторов, включая используемые программные продукты и уровень их защиты. Недавно стала известна тревожная новость о том, что популярный мультивалютный кошелек Coinomi отправлял пользователям криптовалют свои пасфразы восстановления в открытом виде сервису проверки орфографии Google. Эта уязвимость может привести к потере средств под угрозой вмешательства злоумышленников и серьезно подрывает доверие к подобным инструментам для хранения криптовалют. Расскажем подробнее о том, что произошло, почему это опасно и как избежать подобных рисков в будущем.
Coinomi — один из самых популярных криптовалютных кошельков, доступных на различных платформах: Android, iOS, Windows, Linux и macOS. Основным достоинством этого приложения является возможность управлять множеством разных криптовалют одновременно. Однако потребители, которые выбрали этот кошелек для хранения своих цифровых активов, могут столкнуться с проблемами безопасности из-за особенностей программной реализации. Повреждение безопасности произошло из-за того, что разработчики Coinomi не отключили функцию автоматической проверки орфографии, встроенную в среду Chromium, на основе которой построен пользовательский интерфейс кошелька. Во время ввода секретных фраз восстановления, используемых для восстановления доступа к кошельку, приложение в фоновом режиме передавало эту информацию сервису Google Spellchecker.
Отправка данных происходила в открытом виде, что означало, что любой злоумышленник, имеющий возможность прослушивать сетевой трафик, мог получить доступ к этой жизненно важной информации. Секретная фраза восстановления или пасфраз — это набор из 12 или более слов, которые служат главным ключом для доступа к криптовалютному кошельку. Зная эту фразу, злоумышленник получает полный контроль над всеми средствами на счетах пользователя и может их вывести без ограничений. Поэтому защита пасфраз — первейшая задача для любого пользователя и разработчика криптовалютного ПО. Инцидент стал известен благодаря программисту из Омана Варитху Аль Маауали, который потерял около 60-70 тысяч долларов в криптовалюте.
Он заметил странное поведение кошелька и провел тщательное исследование. В ходе анализа было выявлено, что Coinomi не отключил автоматическую проверку орфографии во встроенном браузере Chromium, из-за чего фразы восстановления передавались в сервис Google. Кроме того, в сети появились подтверждения от других пользователей, которые также столкнулись с взломами и потерями средств на своих кошельках после использования этого приложения. Очень тревожно то, что данная уязвимость позволила злоумышленникам получить данные без какого-либо явного взлома устройства или перехвата приватных ключей традиционным способом. Простое сетевое прослушивание могло привести к краже личных данных.
Coinomi, в свою очередь, долгое время игнорировал сообщения о баге, а после публичного разоблачения лишь частично признал проблему. В официальном заявлении компания сообщила о выпуске патча, устраняющего передачу пасфраз, но также поставила под сомнение правильность доказательств, указывая на попытки шантажа со стороны исследователя. Хотя некоторые аспекты обвинений остаются спорными, общий факт нарушения безопасности впечатляет и служит тревожным сигналом для всей индустрии. Данная ситуация поднимает важные вопросы о том, насколько качественно и внимательно компании, работающие с криптовалютами, обеспечивают защиту пользовательской информации. Программное обеспечение должно разрабатываться с учетом всех возможностей утечек, включая взаимодействие с внешними сервисами и интегрированными компонентами систем.
Помимо технических аспектов, стоит учитывать и практические меры для пользователей. В первую очередь, при работе с криптовалютным кошельком важно использовать проверенные и широко признанные решения, имеющие хорошие отзывы сообщества и результаты аудитов безопасности. Не стоит пренебрегать установкой обновлений, так как многие баги устраняются именно благодаря регулярным апдейтам. Также критически важно никогда не вводить ваши секретные фразы восстановления в приложения или веб-формы, вызывающие сомнения или не имеющие шифрованных каналов передачи данных. Для дополнительной безопасности рекомендуется использовать аппаратные кошельки — специальные устройства, хранящие ключи в изолированной среде.
Они позволяют не вводить фразы напрямую в программное обеспечение на компьютере или смартфоне, что снижает риски перехвата. Особенно актуальна подобная практика для крупных сумм или долгосрочного хранения. Не менее важна внимательность и бдительность при работе с мобильными и десктопными приложениями. Вспышка подобных инцидентов показывает, что даже популярные решения могут содержать огромные уязвимости. Регулярное чтение новостей по безопасности криптовалют поможет оставаться в курсе возможных угроз и вовремя принять необходимые меры.
Другое важное направление — обращение внимания на взаимодействие приложений с сетевыми протоколами. Использование защищенных HTTPS-соединений — обязательное требование в современных реалиях к любому продукту, работающему с конфиденциальной информацией. Открытая передача данных HTTP в 2019 году — это серьезный просчет, который не должен был пройти мимо глаз разработчиков. Обязательной процедурой для разработчиков должна стать независимая проверка кода и его тестирование на предмет утечек. Подобные ошибки можно выявить заранее и устранить еще на стадии разработки, что позволит избежать серьезных последствий.
Индустрия блокчейна и криптовалют активно развивается, привлекая все больше пользователей и инвесторов. Поэтому обеспечение безопасности цифровых активов становится приоритетной задачей для всех участников рынка — как создателей приложений, так и конечных пользователей. Уязвимость Coinomi — тревожное напоминание о том, что даже самые опытные специалисты могут совершать ошибки, и важно не расслабляться, а постоянно совершенствовать системы защиты. В конечном итоге, надежность хранения криптовалюты зависит не только от алгоритмов шифрования, но и от тех, кто разрабатывает и использует программное обеспечение. Пользователям необходимо быть информированными, осторожными и использовать лучшие практики кибербезопасности, чтобы максимально снизить риски потерь.
![A computer with water gates [video]](/images/DE87E809-45B5-4D36-BA63-009D2A8E3C82)
