Salah seorang pengguna kripto membuat laporan karena sejumlah kripto yang disimpan di dalam wallet Coinomi raib. Wallet Coinomi ini adalah salah satu layanan penyedia multi wallet kripto. Namun, sampai sekarang, wallet Coinomi ini memang masih menggunakan code yang bersifat tertutup.
Total aset kripto yang hilang di wallet tersebut ditaksir sekitar USD 60.000 – USD 70.000. Setelah ditelusuri, pengguna menemukan bahwa wallet Coinomi tersebut mengirim paassphrase ke server layanan pihak ketiga, Google.
Sementara itu, pengguna bernama Warith Al Maawali, pria asal Muscat – Oman ini memang cukup konsern dalam hal keamanan dan coding. Secara pribadi, dirinya juga berupaya untuk menelusuri apa yang dialaminya itu.
Ternyata, setelah berupaya untuk menghubungi pihak Wallet Coinomi, mereka menolak untuk bertanggung jawab pada insiden itu. Padahal menurut Warith, semua permasalahan yang dialami terjadi karena ada celah pada penanganan passphrase di Wallet Coinomi.
Masalah keamanan disebutnya tidak dapat terjadi jika tidak dilakukan oleh seseorang yang punya kontrol backend wallet Coinomi tersebut. Kesal atas peristiwa yang menimpa dirinya, Warith juga menyarankan pengguna lain untuk segera mentransfer aset pengguna yang masih disimpan di wallet Coinomi. Dan menyimpan aset kripto di wallet lainnya. Anggapannya, cepat atau lambat, peristiwa yang dialaminya itu bisa juga dialami oleh pengguna lain.
Kronologis Raibnya Sejumlah Aset Di Wallet Coinomi
Kronologi hilangnya aset kripto Warith bermula sejak tanggal 14 Februari lalu. Dirinya mengunduh aplikasi wallet Coinomi versi Windows. Sebelumnya, ia sempat memperhatikan bahwa file bawaan wallet itu memang disertai dengan digital signature dari Coinomi. Hanya saja, aplikasi utama yang dirilis tidak disertai hal tersebut.
Digital signature itupun tidak dijumpainya hingga ketika ia selesai menginstal aplikasi versi Windows itu. Sempat merasa was-was dengan rilis wallet yang diinstall, akhirnya Warith berupaya untuk menghubungi pihak Coinomi via akunnya di Twitter, @watih2020.
Pihak Coinomi pun memberikan respon dan memberikan rilis baru wallet mereka. Lengkap dengan digital signature di dalamnya. Sementara itu, Warith juga sudah siap untuk memasukkan passphrase miliknya dari wallet Exodus. Niatnya, untuk segera memindah aset itu di wallet Coinomi.
Namun yang terjadi pada 22 Februari 2019, 90% dari total aset kripto Warit yang telah dipindah ke Coinomi itu sudah hilang. Pengamatan Warit, bahwa total 90% aset yang hilang itu sudah ditransfer ke sejumlah address.
Transaksi transfer pertama yang dilihatnya dimulai pada 19 Februari 2019, sekitar pukul 03:30 UTC. Transaksi pertama yang dilakukan itu adalah untuk aset BTC. Disusul kemudian untuk beberapa aset lainnya, seperti ETH dan sejumlah aset token ERC20. Hingga merambat terus pada aset lain miliknya seperti LTC dan juga BCash.
Merasa kebingungan atas apa yang terjadi, Warith mencoba mengingat-ingat kembali detail peristiwa yang mungkin menjadi sebab persoalan. Menurutnya, letak perbedaan versi yang pernah didapat dengan rilis versi yang sudah dilengkapi dengan digital signature hanya pada tambahan satu file di file executable utama aplikasi itu saja.
Warith merasa curiga bahwa di aplikasi sebelumnya yang tidak dilengkapi dengan digital signature sebelumnya. Karena cukup familiar dengan dunia coding, Warith mencoba merangkai ulang peristiwa yang terjadi.
Dirinya mencoba menggunakan Fiddler untuk memantau lalulintas traffic HTTP/HTTPS yang berjalan di perangkatnya. Dari Fiddler itu, Warith mencoba untuk memantau Coinomi.
Setelah diamati, ternyata aplikasi wallet Coinomi itu mulai mengunduh sebuah wordlist dari sebuah address di https://redirector.gvt1.com/edgedl/chrome/dict/en-us-8-0.bdic. Ia pun mulai tambah curiga dengan traffic itu.
Setelah mencoba untuk restore wallet, dan mengisi passphrase, ternyata passphrase tersebut dikirimkan secara sembunyi-sembunyi ke googleapis.com. Sedangkan domain tersebut tidak lain adalah milik Google.
Meyakinkan apa yang telah ditemukan, Warith juga membuat dokumentasi lengkap yang diunggah dalam bentuk rekaman video.
Penjelasan Teknis
Menurut Warith, aplikasi wallet Coinomi dibangun menggunakan Java. Sedangkan interface di Coinomi tersebut juga dibangun menggunakan HTML/JavaScript., sehingga proses render aplikasi itu juga akan dilakukan dengan integrasi sebuah browser. Integrasi browser yang digunakan ternyata adalah Chrome.
Sedangkan file yang diisikan pada saat mencoba proses recovery, saat pengguna mengisikan passphrase tidak lain berupa sebuah file HTML yang dijalankan melalui browser Chrome tersebut. Sehingga ketika apapun yang telah diisikan di form tersebut, secara otomatis akan langsung dikirimkan ke googleapis.com.
Dari proses ini, yang akan bisa mengakses pengiriman file di googleapis tersebut tidak lain adalah seseorang yang memiliki akses untuk mengirim http request ke server googleapis.com. Jika itu dilakukan, maka dari passphrase tersebut, pastinya akan dapat digunakan untuk mengakses aset kripto yang ada di wallet tersebut.
Aset Kripto Lenyap, Coinomi Tidak Bertanggung Jawab
Pihak Wallet Coinomi ternyata tidak mau bertanggung jawab sejumlah aset kripto lenyap milik Warith itu. Sejumlah detail percakapan yang pernah dilakukan. Rekam perbincangan Coinomi di twitter juga dihapus. Namun, hal itu menjadi terlambat, karena Warith juga sudah mengamankan bukti screenshot semua percakapan yang ada.
Bukti-bukti tersebut mulai dari saat mengirimkan sejumlah tiket ke pihak Coinomi, dan juga tanggapan pihak wallet Coinomi sebelumnya. Makin geram karena tak juga mendapat respon, Warith melanjutkan dengan memposting sebuah topik di Bitcointalk, dan juga melalui Reddit.
Sejumlah bukti-bukti berupa file gambar, PDF, dan rekaman tracing ujicoba yang dilakukan juga dibuat oleh Warith. Bahkan, Warith juga membuat sebuah situs khusus untuk membongkar peristiwa tersebut di avoid-coinomi.com. Namun sampai saat tulisan ini dibuat, pihak Coinomi belum memberikan tanggapan apapun.