Ang Pinakamababang Awtoridad ay Nagbubunyag ng Mga Panganib sa Seguridad sa Atomic Wallet

Mga pondong hawak Atomic Wallet, isang Crypto wallet na sumusuporta sa mahigit 300 coin at token, ay maaaring nasa panganib, ayon sa isang komprehensibong pag-audit sa seguridad na isinagawa ng Pinakamababang Awtoridad.

Read More: Ang Iyong Unang Crypto Wallet: Paano Ito Gamitin at Bakit Kailangan Mo ng ONE

Ang Least Authority ay naglathala ng a post sa blog upang alertuhan ang mga user ng Atomic Wallet sa mga potensyal na panganib na nauugnay sa mga kahinaan na sinasabi nilang natuklasan nila sa disenyo ng system ng wallet.

"... Lubos naming inirerekumenda na agad na abisuhan ng team ng Atomic Wallet ang mga user tungkol sa mga kasalukuyang kahinaan sa seguridad. Bilang karagdagan, hanggang sa sapat na naayos ang mga isyu at suhestyon na nakabalangkas sa ulat at sumailalim ang Atomic Wallet sa mga kasunod na pag-audit sa seguridad, lubos naming inirerekomenda laban sa pag-deploy at paggamit ng Atomic Wallet."

Naabot ng CoinDesk ang Atomic Wallet para sa komento ngunit hindi nakatanggap ng tugon sa oras ng paunang publikasyon. Ang CEO ng Atomic na si Konstantin Gladych ay tumugon na sa sumusunod na pahayag:

Isinasaalang-alang namin ang lahat ng isyung natuklasan ng Least Authority.

• Para sa ilang isyu, naglabas na kami ng mga kaukulang patch at naabisuhan ang Least tungkol sa paggawa nito.
• Upang ipatupad ang mga natitirang mungkahi, kakailanganin naming muling gawin ang ilang bahagi ng CORE arkitektura ng aming application. Magtatagal pa ito ng ilang oras ayon sa aming pagtatantya, ngunit ginagawa namin ito. Wala sa mga isyung iyon ang nagdudulot ng anumang panganib sa seguridad sa aming mga user, dahil ang Atomic ay isang non-custodial wallet at lahat ng data ay lokal na nakaimbak sa mga device ng mga user. Inaasahan naming ipatupad ang iba pang mga mungkahi ng Least sa Q2 2022. Kapag tapos na kami, muli naming i-audit ang aplikasyon.
• Ang Atomic Wallet ay sumailalim sa dalawang pag-audit sa seguridad sa ngayon. Ang isa pang pag-audit, na isinagawa ng DerSecur Ltd, ay iginiit: "Ang average na marka ng seguridad ng application ay 4.7. Ang resultang ito ay mas mataas kaysa sa average ng merkado. Ang application ay maaaring ituring na sapat na ligtas, gayunpaman, inirerekumenda namin na bigyang-pansin ang mga kahinaan na natuklasan sa panahon ng pag-audit at pagkonsulta sa mga detalyadong resulta."
• Ang seguridad ang aming pinakamataas na priyoridad, at patuloy kaming nagsusumikap sa pagpapabuti ng Atomic Wallet. Samakatuwid, masusing sinuri namin ang ulat ng Least at matatapos na ang pagpapatupad ng kanilang mga rekomendasyon nang buo sa Q2, 2022.

Responsableng Disclosure

Unang kinuha ang Least Authority upang suriin ang disenyo ng system ng Atomic gayundin ang mga kaukulang CORE, desktop at mobile coded na pagpapatupad nito noong unang bahagi ng 2021. Ang ulat na iyon, na inihatid sa Atomic noong Abril, ay nagpasiya na may mga kahinaan at kakulangan na naglalagay sa mga user sa "malaking panganib."

Ang pangkat ng pananaliksik ay nagpahayag na ang pitaka ay nagpadala sa kanila ng isang tugon na binabanggit ang kanilang mga update at pagpapabuti noong Nobyembre. Gayunpaman, pagkatapos suriin ang ginawa ng remediation ng Atomic, natuklasan ng Least Authority na "may malaking bilang ng mga isyu at mungkahi ang nananatiling hindi nalutas ..."

Ang mga karagdagang pagtatangka na makipagtulungan sa Atomic upang malutas ang mga natitirang isyu sa seguridad ay hindi matagumpay, ayon sa Least Authority.

Ngayon, pagkatapos ng 10 buwan ng pagsunod responsableng pamamaraan ng Disclosure, ang Least Authority ay nagsasagawa ng susunod na hakbang sa pag-alerto sa mga user ng Atomic sa mga potensyal na panganib na nauugnay sa mga kahinaan na sinasabi nilang natuklasan nila. Sa interes na pigilan ang mga malisyosong aktor na kumilos sa impormasyon sa huling ulat, hindi inilalabas ng security team ang mas pinong detalye ng kanilang mga natuklasan.

"Umaasa kami na ang Disclosure na ito ng pagkakaroon ng mga makabuluhang kahinaan nang hindi nagbibigay ng mga detalye ay nakakatulong upang wastong bigyan ng babala ang mga gumagamit nang hindi inilalagay ang mga ito sa mas malaking panganib," sabi ng post sa blog.

Ngayon ay minarkahan ang unang pagkakataon mula noong itatag ito noong 2011 na ginawa ng Least Authority ang hakbang na ito upang alertuhan ang publiko sa hindi naresolbang mga isyu sa seguridad sa produkto ng isang kliyente.

Mga kahinaan sa Atomic Wallet

Napansin ng Least Authority ang mga sumusunod na natitirang mga kahinaan sa kanilang pinakabagong pag-audit ng Atomic Wallet:

• ang kasalukuyang mga gumagamit ay mahina sa isang hanay ng mga pag-atake na maaaring humantong sa kabuuang pagkawala ng mga pondo ng gumagamit, partikular na dahil sa kasalukuyang paggamit at pagpapatupad ng cryptography;
• kakulangan ng pagsunod sa mga pamantayan sa disenyo at pag-unlad ng wallet system at pinakamahusay na kasanayan;
• kakulangan ng matatag na dokumentasyon ng proyekto;
• isang maling paggamit ng Elektron, isang balangkas para sa pagbuo ng mga desktop application, na humahantong sa mas mataas na panganib ng mga potensyal na kahinaan sa seguridad at mga error sa pagpapatupad, pati na rin ang mga hindi napapanahon at hindi napapanatili na mga dependency.

Nanawagan din ang kumpanya sa Atomic Wallet na magsagawa at mag-publish ng "isang buo, komprehensibong Social Media up na pag-audit sa seguridad" mula sa isang independiyenteng security auditing team kapag ganap na nilang natugunan at nalutas ang mga kasalukuyang kahinaan upang matiyak na ang mga pag-aayos ay "naipatupad nang maayos."

Ang Atomic Wallet ERC20 token, AWC, ay may bumagsak mula sa mataas na higit sa $2.50 noong Abril ng nakaraang taon sa humigit-kumulang $0.86 Miyerkules ng gabi. Unang inilunsad noong 2018, ang token ay nagbibigay sa mga may hawak ng mga diskwento sa exchange services at iba pang benepisyo, ayon sa website ng Atomic.

Update: Pebrero 10, 2021, 15:57 UTC: Nagdagdag ng tugon mula sa CEO ng Atomic Wallet na si Konstantin Gladych.