Fundos de famosa carteira de criptomoedas podem estar em perigo, revela auditoria de segurança
A alemã Least Authority descobriu vulnerabilidades no sistema da Atomic Wallet
Os fundos mantidos na Atomic Wallet, uma carteira de criptomoedas que suporta mais de 300 moedas e tokens, podem estar em risco, de acordo com uma auditoria realizada pela Least Authority, empresa especializa em segurança digital com sede em Berlim, na Alemanha.
A Least Authority publicou uma postagem em seu blog nesta quinta-feira (10) para alertar os usuários da Atomic Wallet sobre os riscos potenciais associados às vulnerabilidades que eles afirmam ter descoberto no design do sistema da wallet:
“Recomendamos fortemente que a equipe da Atomic Wallet notifique imediatamente os usuários sobre as vulnerabilidades de segurança existentes. Além disso, até que os problemas e sugestões descritos no relatório tenham sido suficientemente remediados e a Atomic Wallet tenha passado por auditorias de segurança subsequentes, nós recomendamos fortemente que os usuários não implementem ou usem a Atomic Wallet.”
O CoinDesk entrou em contato com a Atomic Wallet para comentar, mas ninguém respondeu. Após a publicação deste texto, no entanto, o CEO da Atomic, Konstantin Gladych, enviou um comunicado reproduzido na íntegra no final da matéria.
Alerta de perigo
A Least Authority foi contratada pela primeira vez para examinar o design do sistema da Atomic, bem como outras implementações de seu código principal, no início de 2021. Nesse relatório inicial, entregue à Atomic em abril, a empresa concluiu que havia vulnerabilidades e insuficiências que colocam os usuários em “risco significativo.”
A equipe de pesquisa afirmou que a carteira enviou uma resposta citando atualizações e melhorias em novembro. No entanto, depois de verificar as alegações da Atomic, a Least Authority descobriu que “um número significativo de problemas e sugestões permanecem sem solução…”
Outras tentativas de trabalhar com a Atomic para resolver os problemas de segurança pendentes não tiveram sucesso, de acordo com a Least Authority.
Agora, após 10 meses seguindo os procedimentos de divulgação responsável, a Least Authority está dando o próximo passo para alertar os usuários da Atomic sobre os riscos potenciais associados às vulnerabilidades que eles alegam ter descoberto.
Com a intenção de impedir que criminosos virtuais ajam com base nas informações do relatório final, a equipe de segurança não está divulgando os detalhes mais refinados de suas descobertas.
“Esperamos que essa divulgação da existência de vulnerabilidades significativas sem fornecer detalhes ajude a alertar adequadamente os usuários sem colocá-los em risco ainda maior”, afirma o post do blog.
Foi a primeira vez desde a sua criação, em 2011 que a Least Authority tomou essa medida para alertar o público sobre problemas de segurança não resolvidos com o produto de um cliente.
Vulnerabilidades na Atomic Wallet
A Least Authority observou as seguintes vulnerabilidades pendentes em sua última auditoria da Atomic Wallet:
- Os usuários atuais estão vulneráveis a uma série de ataques que podem levar à perda total de fundos do usuário, especificamente devido ao uso atual e à implementação de criptografia;
- Falta de adesão aos padrões e melhores práticas de design e desenvolvimento de sistemas de carteira;
- Falta de documentação robusta do projeto;
- Um uso incorreto do Electron, uma estrutura para criar aplicativos de desktop. Isso eleva os riscos de vulnerabilidades de segurança e erros de implementação, e também gera dependências (parte essencial do código) desatualizadas e em más condições.
A empresa também está pedindo à Atomic Wallet que conduza e divulgue “uma auditoria de segurança completa e abrangente subsequente”, feita por uma equipe de auditoria de segurança independente, assim que resolver totalmente as vulnerabilidades apontadas. Essa é uma forma, disse a empresa, de garantir que as correções tenham sido “implementadas adequadamente”.
O token ERC-20 da Atomic Wallet, o AWC, caiu de uma alta de mais de US$ 2,50 em abril do ano passado para cerca de US$ 0,86 na noite de quarta-feira (10). Lançado pela primeira vez em 2018, o ativo oferece descontos aos titulares em serviços de exchanges, além de outros benefícios, de acordo com o site da Atomic.
Resposta da Atomic Wallet
“Levamos em conta todos os problemas descobertos pela Least Authority. Para alguns deles, já lançamos as correções correspondentes e notificamos a Least Authority sobre isso. Para implementar as sugestões restantes, precisaremos retrabalhar algumas partes da arquitetura principal do nosso aplicativo. Isso levará mais algum tempo de acordo com nossa estimativa, mas estamos trabalhando nisso.
Nenhum desses problemas representa riscos de segurança para nossos usuários, pois a Atomic é uma carteira sem custódia e todos os dados são armazenados localmente nos dispositivos dos usuários. Esperamos implementar o restante das sugestões da Least no segundo trimestre de 2022. Assim que terminarmos, auditaremos novamente o aplicativo.
A Atomic Wallet passou por duas auditorias de segurança até agora. A outra auditoria, conduzida pela empresa DerSecur Ltd, afirmou o seguinte: ‘A pontuação média de segurança do aplicativo é 4,7. Esse resultado é superior à média do mercado.
O app pode ser considerado seguro o suficiente, no entanto, nós recomendamos que as vulnerabilidades descobertas durante a auditoria sejam trazidas à tona e que seja feita uma análise detalhada nos resultados. A segurança é nossa maior prioridade e estamos trabalhando continuamente para melhorar a Atomic Wallet.
Portanto, analisamos minuciosamente o relatório da Least e concluiremos a implementação completa de suas recomendações no segundo trimestre de 2022.”