Один из криптовалютных пользователей, решил сменить свой кошелек с Exodus на Coinomi, скачав его с официального сайта и использовав ту же seed-фразу. К удивлению пользователя, на следующий день почти все оставшиеся токены с кошелька Exodus были похищены.
Чтобы разобраться в ситуации, пользователь отследил трафик приложения Coinomi и выяснил, что в момент запуска оно скачивало список слов из словаря:
«Я ввел случайную seed-фразу в поле для восстановления кошелька и обнаружил, что в виде незашифрованного текста она была передана на адрес googleapis.com для проверки правописания. Все, кто связан с технологиями и криптовалютами, знают, что 12 случайных английских слов могут являться seed-фразой от криптокошелька. Таким образом, кто-то из команды Google или некто имеющий доступ к HTTP-запросам, передаваемым на googleapis.com, обнаружил кодовую фразу и использовал ее, чтобы украсть $60 000 — $70 000 в криптовалюте».
Компания Coinomi не дала четкий ответ пользователю и только заявила, что обнаруженная уязвимость была устранена и касалась только десктопной версии кошелька.