Least Authority révèle les risques de sécurité du portefeuille Atomic

Fonds détenus dansPortefeuille atomique, un portefeuille Crypto qui prend en charge plus de 300 pièces et jetons, pourrait être en danger, selon un audit de sécurité complet mené par Autorité minimale.

Sur le même sujet : Votre premier portefeuille Crypto : comment l'utiliser et pourquoi en avez-vous besoin ?

Least Authority a publié unarticle de blogpour alerter les utilisateurs d'Atomic Wallet des risques potentiels associés aux vulnérabilités qu'ils prétendent avoir découvertes dans la conception du système du portefeuille.

« … nous recommandons vivement à l'équipe d'Atomic Wallet d'informer immédiatement les utilisateurs des failles de sécurité existantes. De plus, tant que les problèmes et suggestions décrits dans le rapport n'auront pas été suffisamment corrigés et qu'Atomic Wallet n'aura pas fait l'objet d'audits de sécurité ultérieurs, nous déconseillons fortement son déploiement et son utilisation. »

CoinDesk a contacté Atomic Wallet pour obtenir un commentaire, mais n'a pas reçu de réponse au moment de la publication initiale. Le PDG d'Atomic, Konstantin Gladych, a depuis réagi par la déclaration suivante :

Nous avons pleinement pris en compte tous les problèmes découverts par Least Authority.

• Pour certains problèmes, nous avons déjà publié des correctifs correspondants et informé Least de le faire.
• Pour mettre en œuvre les suggestions restantes, nous devrons retravailler certaines parties de l'architecture CORE de notre application. Cela prendra un peu plus de temps, selon nos estimations, mais nous y travaillons. Aucun de ces problèmes ne présente de risque de sécurité pour nos utilisateurs, car Atomic est un portefeuille non dépositaire et toutes les données sont stockées localement sur leurs appareils. Nous prévoyons de mettre en œuvre le reste des suggestions de Least au deuxième trimestre 2022. Une fois cette étape terminée, nous procéderons à un nouvel audit de l'application.
• Atomic Wallet a déjà fait l'objet de deux audits de sécurité. L'autre audit, mené par DerSecur Ltd, a confirmé : « Le score de sécurité moyen de l'application est de 4,7. Ce résultat est supérieur à la moyenne du marché. L'application peut être considérée comme suffisamment sécurisée. Néanmoins, nous recommandons de signaler les vulnérabilités découvertes lors de l'audit et de consulter les résultats détaillés. »
• La sécurité est notre priorité absolue et nous travaillons continuellement à l'amélioration d'Atomic Wallet. C'est pourquoi nous avons examiné attentivement le rapport de Least et mettrons pleinement en œuvre ses recommandations au deuxième trimestre 2022.

Déclaration de transparence responsable

Least Authority a été initialement mandaté pour examiner la conception du système d'Atomic ainsi que ses implémentations codées de CORE, de bureau et mobiles correspondantes au début de 2021. Ce rapport, remis à Atomic en avril, concluait qu'il existait des vulnérabilités et des insuffisances qui exposaient les utilisateurs à un « risque important ».

L'équipe de recherche a indiqué que le portefeuille lui avait envoyé une réponse faisant état de ses mises à jour et améliorations en novembre. Cependant, après vérification des engagements de correction d'Atomic, Least Authority a découvert qu'« un nombre important de problèmes et de suggestions restent non résolus… »

D'autres tentatives de collaboration avec Atomic pour résoudre les problèmes de sécurité en suspens ont échoué, selon Least Authority.

Maintenant, après 10 mois de suiviprocédures de Déclaration de transparence responsablesLeast Authority va plus loin en alertant les utilisateurs d'Atomic des risques potentiels liés aux vulnérabilités qu'elle prétend avoir découvertes. Afin d'empêcher les acteurs malveillants d'exploiter les informations contenues dans le rapport final, l'équipe de sécurité ne divulgue pas les détails de ses conclusions.

« Nous espérons que cette Déclaration de transparence de l’existence de vulnérabilités importantes sans fournir de détails contribuera à avertir de manière appropriée les utilisateurs sans les exposer à un risque encore plus grand », indique le billet de blog.

C'est aujourd'hui la première fois depuis sa création en 2011 que Least Authority prend cette mesure pour alerter le public des problèmes de sécurité non résolus concernant le produit d'un client.

Vulnérabilités dans Atomic Wallet

Least Authority a noté les vulnérabilités exceptionnelles suivantes dans son dernier audit d'Atomic Wallet :

• les utilisateurs actuels sont vulnérables à une série d’attaques qui peuvent conduire à la perte totale des fonds des utilisateurs, notamment en raison de l’utilisation et de la mise en œuvre actuelles de la cryptographie ;
• un manque d’adhésion aux normes et aux meilleures pratiques de conception et de développement du système de portefeuille ;
• un manque de documentation de projet solide ;
• une utilisation incorrecte deÉlectron, un cadre pour la création d'applications de bureau, ce qui entraîne un risque accru de vulnérabilités de sécurité potentielles et d'erreurs d'implémentation, ainsi que de dépendances obsolètes et non maintenues.

La société demande également à Atomic Wallet de mener et de publier « un audit de sécurité de Réseaux sociaux complet et exhaustif » par une équipe d'audit de sécurité indépendante une fois qu'elle aura entièrement traité et résolu les vulnérabilités existantes pour garantir que les correctifs ont été « correctement mis en œuvre ».

Portefeuille atomiqueERC20jeton, AWC, atombé d'un sommet de plus de 2,50 $ en avrilLancé en 2018, le jeton offre à ses détenteurs des réductions sur les services d'échange et d'autres avantages, selon le site web d'Atomic.

Mise à jour : 10 février 2021, 15 h 57 UTC :Réponse ajoutée du PDG d'Atomic Wallet, Konstantin Gladych.