Pembaruan: Belum lama ini, pihak Coinomi menghubungi Blockchainmedia melalui e-mail. Mereka memverifikasi kasus yang kami lansir pada Maret 2019 ini.
“Tidak benar bahwa wallet Coinomi memiliki bug, seperti yang diklaim oleh si pemeras bernama ‘Warith’ itu,” kata Angelos Leoussis, Manajer Operasional Coinomi kepada Blockchainmedia.
Tudingan Warith sebenarnya sudah diluruskan oleh Coinomi pada 27 Februari 2019 di Medium, Twitter, termasuk pada Mei 2019 oleh perusahaan peneliti blockchain, CipherBlade.
Take a moment to go through the undeniable evidence found in @cipher_blade's detailed report on how @warith2020's claims against @CoinomiWallet were phony and malign to start with and this whole thing has been nothing but an attempt to extort us of $70k from the very beginning. https://t.co/pvHCxpi6RY
— George Kimionis (@kimionis) May 24, 2019
Coinomi, sebuah dompet aset kripto, terlibat kontroversi setelah seorang pengguna Twitter mengklaim Coinomi mengirim kata sandi (seed phrase) penggunanya dalam bentuk teks polos (plain text) ke komputer peladen (server) pihak ketiga yang dimiliki Google. Coinomi menanggapi klaim tersebut dan menjelaskan mengenai dugaan kesalahan pada sistemnya.
Pengguna Twitter bernama Warith Al Maawali mengklaim bahwa kata sandi dompet Coinomi miliknya bocor, dan mengakibatkan kerugian kripto sebesar US$60 sampai US$70 ribu. Menggali lebih dalam, Maawali menemukan Coinomi mengirim kata sandi penggunanya dalam bentuk teks polos tidak terenkripsi ke sebuah situs yang dimiliki Google akibat fungsi spell check.
Akibatnya, Maawali mengklaim seseorang melihat kata sandi tersebut dan mencuri dana dalam dompet Coinomi miliknya. Maawali berkata pelakunya bisa saja seseorang yang bekerja di Google.
Klaim Maawali menjelaskan setelah ia menghubungi Coinomi, perusahaan ini terus mengingatkannya mengenai dampak hukum jika ia mengumumkan isu tersebut. Maawali menambahkan, respons Coinomi tidak mencerminkan perilaku yang bertanggung jawab, dan malah terus bertanya kepada Maawali tentang isu teknis di balik galat (error) tersebut, sebab mereka cemas tentang citra publik dan reputasinya.
Melalui Medium, Coinomi mengklaim, kendati kata sandinya melalui proses spell check, permintaan spell check tersebut menghasilkan galat (error code: 400) dan ditandai sebagai permintaan tidak valid sehingga tidak diproses lebih lanjut oleh Google.
Menurut perusahaan tersebut, galat itu diakibatkan opsi konfigurasi yang salah dalam plug-in yang dipakai di dompet versi desktop saja. Karena itu, pengguna yang menggunakan dompet desktop diminta memperbarui ke versi terbaru secepat mungkin, sedangkan pengguna yang memakai versi Android dan iOS tidak perlu melakukan apa-apa.
Coinomi mempertanyakan keabsahan klaim Maawali bahwa galat tersebut mengakibatkan kerugian kripto senilai US$60 ribu, sebab Coinomi mengklaim kesalahan tersebut tidak mungkin membuat dompetnya bisa diretas.
“Tim Coinomi tidak pernah memiliki akses terhadap kata sandi atau dana pengguna. Tidak ada pihak selain Google yang bisa membaca konten paket terenkripsi yang berisi kata sandi. Google menolak permintaan tersebut, sebab tidak mengandung kunci Google API yang valid, sehingga tidak pernah diproses oleh Google,” jelas Coinomi.
Penyedia dompet kripto itu mengunggah dialog dengan Maawali sebelum insiden ini menjadi perhatian publik. Di dalam dialog tersebut, terlihat Maawali meminta Coinomi untuk mengembalikan dana yang diklaim dicuri dan menyebutnya sebagai imbalan karena telah menemukan galat.
Jika Coinomi tidak mengembalikan dananya, Maawali berkata ia tidak punya pilihan lain selain melaporkan insiden ini di media sosial. Setelah Coinomi meminta percakapan video call untuk melakukan pengecekan identitas dan menyelidiki insiden itu, Maawali membalas ia akan segera mengumumkan kesalahan Coinomi agar pihak berwenang dan publik yang menanganinya.
Setelah diminta sekali lagi untuk mengembalikan dana senilai US$65 ribu hingga US$70 ribu atau 17 BTC, Coinomi tegas menyatakan pihaknya tidak melakukan negosiasi dengan pemeras.
Komunitas kripto di media sosial mengkritik kedua belah pihak. Beberapa orang mempertanyakan apakah klaim Maawali benar-benar sah, sebab tidak masuk akal menolak proses verifikasi identitas (KYC) untuk memulihkan simpanan seumur hidupnya. Tidak masuk akal pula Maawali menyimpan seluruh hartanya dalam hot wallet, dan bukan sebuah hardware wallet.
Beberapa orang lain berkata respon Coinomi bisa lebih baik, dan perusahaan tersebut tidak menangani masalah ini dengan elegan. Di satu sisi, Coinomi berkata pihaknya telah bekerjasama dengan sebuah firma yang mengkonfirmasi tidak ada dana yang diretas. Tetapi di sisi lain, Coinomi menyatakan komputer Maawali bisa saja kena retas sebelum ia memasukkan kata sandinya. [cryptoglobe.com/ed]