Eine Sicherheitslücke in dem Coinomi Wallet soll einen User Namens Warith Al Maawali über 60.000 US-Dollar gekostet haben. Das behauptet Maawali, der die Sicherheitslücke selber aufdeckte. Demnach soll das Wallet Nutzereingaben – in diesem Fall der Wallet Seed – über die Google API an die Server von Google weitergeleitet haben. Maawali behauptet, dass ein Angreifer diese Schwachstelle habe ausnutzen können und fordert nun Schadenersatz von Coinomi in Form eines Bugbounty in Höhe seiner reklamierten Verluste.
Das Unternehmen reagiert auf die Veröffentlichung Maawalis mit einer eigenen Stellungnahme. Die Daten seien tatsächlich über die Google API an deren Server gesendet worden, allerdings verschlüsselt. Man halte es für unwahrscheinlich, dass Google selber die Daten genutzt hat, um den Wallet Maawalis auszuräumen. Außerdem erhebt das Unternehmen den Vorwurf, dass Maawalis Verhalten verhindert hat mit Google in Kontakt zu treten und rechtzeitig zu überprüfen, ob nicht doch Wallet Daten auf diesem Weg geleakt worden sind. Nun könne man niemanden mehr schützen, weil Maawali die Informationen veröffentlicht hat.
Tatsächlich hat Maawali gegenüber Coinomi darauf gedrängt ihn zu bezahlen oder er würde die Öffentlichkeit über die Lücke informieren, dies geht aus seiner eigenen Veröffentlichung des Vorfalls hervor. Coinomi wollte sich dadurch jedoch nicht unter Druck setzen lassen und nennt sein Verhalten Erpressung.
Fakt ist, dass es eine Sicherheitslücke gab, diese ist mit einem Patch behoben worden. Ob sich Mawaalis Anschuldigungen tatsächlich beweisen lassen, bleibt jedoch offen.
