آیا کیف پول اتمیک ولت در معرض خطر قرار دارد؟
طبق حسابرسی امنیتی جامع که توسط Least Authority انجام شده است، سرمایههای موجود در اتمیک ولت (Atomic Wallet) ممکن است در معرض خطر باشند.
به گزارش میهن بلاکچین و به نقل از کوین دسک، Least Authority، پستی منتشر کرده است تا به کاربران Atomic Wallet در خصوص خطرات بالقوه مرتبط با آسیبپذیریهای کشفشده در سیستم این کیف پول هشدار دهد. Least Authority در این خصوص گفت:
ما اکیدا توصیه میکنیم که تیم اتمیک ولت سریعا، آسیبپذیریهای امنیتی موجود را به کاربران اطلاع دهند. به علاوه، تا زمانی که مسأله عنوانشده در این گزارش به طور مناسب برطرف نشود و اتمیک ولت تحت حسابرسیهای امنیتی مستمر قرار نگیرد، ما توصیه اکید میکنیم که از اتمیک ولت استفاده نشود.
کنستانتین گلادیش (Konstantin Gladych) مدیرعامل اتمیک در پاسخ به این موضوع گفته است:
ما به تمام مسائل کشفشده توسط Least Authority توجه ویژهای داریم.
برای بعضی از مسائل، اصلاحیههای مرتبط را عرضه کرده و این موضوع را به Least Authority اطلاع دادهایم.
به منظور پیادهسازی سایر پیشنهادات، ما باید بعضی از بخشهای ساختار اصلی برنامه خود را تغییر دهیم. این موضوع بیشتر از تخمینهای ما طول میکشد اما بر روی آنها کار میکنیم. هیچکدام از این مسائل هیچگونه خطرات امنیتی برای کاربران ایجاد نمیکنند زیرا اتمیک ولت، یک کیف پول غیرحضانتی است و تمام اطلاعات بر روی دستگاه کاربران ذخیره میشود. پیشبینی میکنیم که سایر پیشنهادات Least در سه ماهه دوم سال ۲۰۲۲ اجرا شود. پس از آن، برنامه را مجددا حسابرسی خواهیم کرد.
اتمیک ولت تاکنون تحت دو حسابرسی امنیتی قرار گرفته است. در حسابرسی دیگر که توسط DerSecur Ltd انجام شده، آمده است:
امتیاز امنیت این برنامه ۴.۷ است. این نتیجه بالاتر از میانگین امتیازات برنامههای حاضر در بازار است. این برنامه را میتوان به حد کافی ایمن در نظر گرفت. با این حال، توصیه میکنیم به آسیبپذیریهای کشفشده در این حسابرسی توجه ویژهای شود.
امنیت اولویت اول ما است و دائما بر روی بهبود اتمیک ولت کار میکنیم. بنابراین، ما گزارش Least Authority را به دقت بررسی کردیم و توصیههای آن را به طور کامل در سه ماهه دوم ۲۰۲۲ پیادهسازی خواهیم کرد.
انتشار گزارش آسیبپذیریها
ابتدا در اوایل سال ۲۰۲۱ بود که Least Authority برای بررسی طراحی سیستم Atomic Wallet و کدنویسی نسخههای دسکتاپ و موبایلی آن استخدام شد. در گزارشی که در ماه آوریل به اتمیک ارائه شد، آمده بود که آسیبپذیریها و ناکارآمدیهایی وجود دارند که کاربران را در معرض خطر قرار میدهند.
این تیم تحقیقاتی بیان کرده است که اتمیک ولت در ماه نوامبر پاسخی به آنها ارسال کرده که طی آن، به بهبودها و بهروزرسانیها اشاره کرده است. هرچند، Least Authority پس از بررسی اقدامات اتمیک ولت برای بهبود کیف پول خود، متوجه شد که بسیاری از مسائل برطرف نشدهاند.
طبق گزارش Least Authority، تلاشهای بیشتر برای همکاری با اتمیک به منظور برطرف کردن مسائل امنیتی، موفقیتآمیز نبوده است.
اکنون پس از ۱۰ ماه، Least Authority گام بعدی برای هشدار دادن به کاربران اتمیک در خصوص خطرات بالقوه موجود در آسیبپذیریهای کشفشده را برداشته است. این تیم امنیتی برای آنکه عوامل مخرب از اطلاعات موجود در این گزارش استفاده نکنند، جزییات دقیق یافتههای خود را اعلام نکرده است.
آسیبپذیریهای اتمیک ولت
تیم Least Authority آسیبپذیریهای مهم زیر را در حسابرسی اتمیک ولت عنوان کرده است:
- کاربران فعلی در مقابل طیف گستردهای از حملات آسیبپذیر هستند. این حملات به دلیل نوع استفاده اتمیک ولت از رمزنگاری، میتوانند به از دست دادن سرمایه کاربران منجر شود.
- عدم پایبندی به استانداردهای توسعه و طراحی سیستم کیف پول و انجام بهترین اقدامات.
- عدم سندسازی منسجم این پروژه.
- استفاده نادرست از الکترون (Electron) که منجر به افزایش خطر آسیبپذیریهای امنیتی بالقوه و خطاهای پیادهسازی میشود. الکترون چارچوبی برای ساخت برنامههای دسکتاپ است.