코이노미 월렛, 버그로 인해 7만 달러 절도 당했다

0
275
디코인뉴스

[디코인뉴스=최정민기자] 암호화폐 투자자 워리스 알 마워리에 따르면 안드로이드에서 광범위하게 사용되는 암호지갑인 코이노미에서 6만~7만 달러의 비용을 절도당했다고 밝혔다.

마워리는 지갑에 있는 치명적인 취약점으로 인해 사용자 기금이 손실돼 지갑의 개인 키가 손상됐다고 주장했다.

암호화폐에서는 개인 키를 디지털 자산 지갑의 암호문이라고 한다. 개인 키가 분실되면 복구할 수 없으며 그 안에 저장된 기금은 영구적으로 손실된다.

그는 “내 암호문이 손상돼 6만~7만 달러 상당의 암호화폐가 코이노미 지갑에서 도난당했다”며 “이 문제를 공개적으로 제기한다”고 말했다. 이어 “왜냐하면 코이노미는 책임을 지지 않고 있다”며 “사설 채널을 통한 모든 시도는 실패했다”고 덧붙였다.

보도에 따르면 코이노미는 지난해 오픈 소스에서 폐쇄 소스 프로젝트로 전환했다. 따라서 지난해부터 지갑의 코드베이스는 일반인들과 공유되지 않아 공개 소스 커뮤니티가 코드베이스를 검토하고 잠재적인 버그나 취약점을 발견하지 못하게 했다.

투자자가 수행한 분석을 기반으로 코이노미에 대한 마워리의 자금이 손실됐다고 주장하는 취약점은 암호문이나 개인 키를 입력할 때 구글아피스닷컴을 통해 맞춤법 검사를 실행하는 코이노미 텍스트 상자의 자동 기능이다.

마워리는 “본질적으로 암호를 입력하는 텍스트 상자는 크롬 브라우저 구성 요소가 실행하는 HTML 파일이다”며 “해당 텍스트 상자에 아무 것도 입력하거나 붙여 넣으면 철저히 구글아피스닷컴에 맞춤법 검사를 위해 원격으로 보내진다”고 말했다.

투자자는 유출된 개인키에 대한 액세스 권한을 얻은 사람이 누구든지 6만~7만 달러의 가치를 지닌 암호화폐를 사용했다고 밝혔다.

그는 “그 결과 구글 팀원이나 구글아피스닷컴으로 전송된 HTTP 요청에 액세스한 사람이 암호문을 발견해 이를 사용하여 암호화폐를 훔쳤다”고 주장했다.

세계 시장에서 가장 큰 이더리움 지갑 중 하나를 운영하는 임토큰의 필립 세퍼트는 코이노미가 이 상황을 처리하는 과정을 비판했다.

사용자가 아직 확인되지 않은 심각한 취약점을 통해 생명을 잃은 경우 세퍼트는 회사가 사용자를 돕기 위해 최대한 응답해야 한다고 설명했다.

마워리는 코이노미의 고객 담당자가 취약점 발견에 대한 보상금을 받을 자격이 있다고 말했지만 사건에 대한 보상을 받지 못했다고 주장했다.