Програмістом Уорітою Аль Маавалі виявлено пролом у безпеці криптовалютного гаманця Coinomi, унаслідок якого криптогаманець Coinomi надсилає кодові фрази користувачів до служби перевірки орфографії Google у незашифрованому вигляді, тим самим відкриваючи шахраям доступ до приватної інформації та даючи можливість заволодіти коштами користувачів. Даний пролом у безпеці гаманця було виявлено під час розслідування таємничої крадіжки 90% коштів програміста. Аль Маавалі виявив, що під час налаштування гаманця Coinomi, коли користувачі вводять мнемонічну фразу (seed), застосунок Coinomi захоплює введені користувачем текстові дані та автоматично надсилає їх до служби Google Spellcheck API для перевірки правопису у відкритому вигляді. «Щоб зрозуміти, що відбувається, я поясню це технічно, — каже Аль Маавалі. — інтерфейс гаманця написаний на HTML та Java Script і візуалізується за допомогою вбудованого браузера на основі Chromium».

Як і будь-який інший застосунок на основі Chromium, застосунок гаманця інтегрований з різними функціями, орієнтованими на Google, такими як функція автоматичної перевірки орфографії для всіх текстових полів введення користувача. Схоже, проблема полягає в тому, що команда Coinomi не спромоглася відключити цю функцію в коді користувацького інтерфейсу свого гаманця, що призвело до ситуації, коли бекап-фрази гаманців усіх їхніх користувачів просочувалися через HTTP під час процесу встановлення та налаштування гаманця. Будь-хто, хто в змозі перехопити вебтрафік із застосунку гаманця, зможе побачити seed-фразу застосунку гаманця Coinomi у незашифрованому вигляді. Ця фраза дозволяє зловмисникам отримати за допомогою функції відновлення доступ до всіх коштів, що зберігаються в гаманці користувача.

І хоча в Аль-Маавалі немає переконливих доказів того, що саме так хакери отримали доступ до його даних, він стверджує, що були вкрадені лише ті кошти, які зберігалися в гаманці Coinomi, і тому він не бачить іншого способу викрасти криптовалюту, окрім як через доступ до мнемонічної фрази Coinomi. «Будь-хто, хто займається технологіями та криптовалютою, знає, що (…) 12 випадкових англійських слів, розділених пробілами, імовірно, стануть кодовою фразою для криптовалютного гаманця», – сказав Аль Маавалі.

Дослідник створив спеціальний вебсайт, де він описав проблему та експеримент, який він провів, намагаючись змусити Coinomi визнати вразливість. Він також опублікував відео з перевіркою своєї концепції, яке пізніше було незалежно перевірено та відтворено Люком Чайлдсом, дослідником безпеки.

Coinomi, яка пропонує мульти-криптовалютний застосунок для гаманців для Android, iOS, Linux, Mac та Windows, не відповіла на запит постраждалого користувача з пропозицією компенсувати вкрадені кошти. Однак оновлена версія застосунку з'явилася вже наступного дня після звернення користувача. Аль Маавалі стверджує, що він втратив від 60’000 до 70’000 доларів США в різних криптовалютах. Його версія крадіжки коштів підтверджується іншими повідомленнями в гілці Coinomi на форумі Reddit, де користувачі скаржаться на те, що одного разу вони прокинулися та виявили, що всі їхні гаманці Coinomi були спустошені за одну ніч.