La minima autorità rivela i rischi per la sicurezza nel portafoglio atomico

Fondi detenuti inPortafoglio Atomico, un portafoglio Cripto che supporta oltre 300 monete e token, potrebbe essere a rischio, secondo un audit di sicurezza completo condotto da Autorità minima.

Continua a leggere: Il tuo primo portafoglio Cripto : come usarlo e perché ONE hai bisogno

Least Authority ha pubblicato unpost del blogper avvisare gli utenti di Atomic Wallet dei potenziali rischi associati alle vulnerabilità che affermano di aver scoperto nella progettazione del sistema del portafoglio.

"... raccomandiamo vivamente al team di Atomic Wallet di informare immediatamente gli utenti delle vulnerabilità di sicurezza esistenti. Inoltre, finché i problemi e i suggerimenti delineati nel rapporto non saranno stati sufficientemente risolti e Atomic Wallet non sarà stato sottoposto a successivi audit di sicurezza, sconsigliamo vivamente di implementare e utilizzare Atomic Wallet."

CoinDesk ha contattato Atomic Wallet per un commento, ma non ha ricevuto risposta al momento della pubblicazione iniziale. Il CEO di Atomic, Konstantin Gladych, ha risposto con la seguente dichiarazione:

Abbiamo preso in seria considerazione tutti i problemi individuati da Least Authority.

• Per alcuni problemi abbiamo già rilasciato le patch corrispondenti e ne abbiamo informato Least.
• Per implementare i suggerimenti rimanenti, dovremo rielaborare alcune parti dell'architettura CORE della nostra applicazione. Ciò richiederà un po' più di tempo, secondo la nostra stima, ma ci stiamo lavorando. Nessuno di questi problemi pone rischi per la sicurezza dei nostri utenti, poiché Atomic è un portafoglio non custodiale e tutti i dati vengono archiviati localmente sui dispositivi degli utenti. Ci aspettiamo di implementare il resto dei suggerimenti di Least nel secondo trimestre del 2022. Una volta terminato, riesamineremo l'applicazione.
• Atomic Wallet è stato sottoposto finora a due audit di sicurezza. L'altro audit, condotto da DerSecur Ltd, ha affermato: "Il punteggio di sicurezza medio dell'applicazione è 4,7. Questo risultato è superiore alla media di mercato. L'applicazione può essere considerata sufficientemente sicura, tuttavia, raccomandiamo di portare all'attenzione le vulnerabilità scoperte durante l'audit e di consultare i risultati dettagliati".
• La sicurezza è la nostra massima priorità e lavoriamo costantemente per migliorare Atomic Wallet. Pertanto, abbiamo esaminato attentamente il report di Least e implementeremo completamente le loro raccomandazioni nel secondo trimestre del 2022.

Dichiarazione informativa responsabile

Least Authority è stata inizialmente assunta per esaminare la progettazione del sistema di Atomic e le relative implementazioni codificate CORE, desktop e mobile all'inizio del 2021. Tale rapporto, consegnato ad Atomic ad aprile, ha concluso che vi erano vulnerabilità e insufficienze che mettevano gli utenti a "rischio significativo".

Il team di ricerca ha dichiarato che il wallet ha inviato loro una risposta in cui si segnalavano i loro aggiornamenti e miglioramenti a novembre. Tuttavia, dopo aver controllato i commit di correzione di Atomic, Least Authority ha scoperto che "un numero significativo di problemi e suggerimenti restano irrisolti..."

Secondo Least Authority, ulteriori tentativi di collaborare con Atomic per risolvere i problemi di sicurezza in sospeso non hanno avuto successo.

Ora, dopo 10 mesi di follow-upprocedure Dichiarazione informativa responsabile, Least Authority sta compiendo il passo successivo nell'avvertire gli utenti di Atomic sui potenziali rischi associati alle vulnerabilità che affermano di aver scoperto. Nell'interesse di impedire ad attori malintenzionati di agire sulle informazioni nel rapporto finale, il team di sicurezza non sta diffondendo i dettagli più fini delle proprie scoperte.

"Ci auguriamo che questa Dichiarazione informativa dell'esistenza di vulnerabilità significative senza fornire dettagli contribuisca ad avvisare adeguatamente gli utenti senza esporli a rischi ancora maggiori", si legge nel post del blog.

Oggi è la prima volta dalla sua fondazione nel 2011 che Least Authority adotta questo provvedimento per avvisare il pubblico di problemi di sicurezza irrisolti relativi al prodotto di un cliente.

Vulnerabilità in Atomic Wallet

Least Authority ha rilevato le seguenti vulnerabilità in sospeso nel suo ultimo audit di Atomic Wallet:

• gli utenti attuali sono vulnerabili a una serie di attacchi che potrebbero portare alla perdita totale dei fondi degli utenti, in particolare a causa dell'attuale utilizzo e implementazione della crittografia;
• una mancanza di aderenza agli standard e alle migliori pratiche di progettazione e sviluppo del sistema di portafoglio;
• mancanza di una solida documentazione del progetto;
• un uso scorretto diElettrone, un framework per la creazione di applicazioni desktop, che comporta un aumento del rischio di potenziali vulnerabilità di sicurezza ed errori di implementazione, nonché dipendenze obsolete e non gestite.

L'azienda chiede inoltre ad Atomic Wallet di condurre e pubblicare "un audit di sicurezza Seguici up completo ed esaustivo" da parte di un team di auditing di sicurezza indipendente, una volta affrontate e risolte completamente le vulnerabilità esistenti, per garantire che le correzioni siano state "correttamente implementate".

Portafogli AtomiciERC20il token, AWC, hasceso da un massimo di oltre $ 2,50 ad apriledell'anno scorso a circa $ 0,86 mercoledì sera. Lanciato per la prima volta nel 2018, il token offre ai titolari sconti sui servizi di cambio e altri vantaggi, secondo il sito Web di Atomic.

Aggiornamento: 10 febbraio 2021, 15:57 UTC:Aggiunta la risposta del CEO di Atomic Wallet Konstantin Gladych.