آیا کیف پول اتمیک ولت در معرض خطر قرار دارد؟

طبق حسابرسی امنیتی جامع که توسط Least Authority انجام شده است، سرمایه‌های موجود در اتمیک ولت (Atomic Wallet) ممکن است در معرض خطر باشند.

به نقل از کوین دسک، Least Authority، پستی منتشر کرده است تا به کاربران Atomic wallet در خصوص خطرات بالقوه مرتبط با آسیب‌پذیری‌های کشف‌شده در سیستم این کیف پول هشدار دهد. Least Authority در این خصوص گفت:

ما اکیدا توصیه می‌کنیم که تیم اتمیک ولت سریعا، آسیب‌پذیری‌های امنیتی موجود را به کاربران اطلاع دهند. به علاوه، تا زمانی که مسأله عنوان‌شده در این گزارش به طور مناسب برطرف نشود و اتمیک ولت تحت حسابرسی‌های امنیتی مستمر قرار نگیرد، ما توصیه اکید می‌کنیم که از اتمیک ولت استفاده نشود.

کنستانتین گلادیش (Konstantin Gladych) مدیرعامل اتمیک در پاسخ به این موضوع گفته است:

ما به تمام مسائل کشف‌شده توسط Least Authority توجه ویژه‌ای داریم.

برای بعضی از مسائل، اصلاحیه‌های مرتبط را عرضه کرده و این موضوع را به Least Authority اطلاع داده‌ایم.

به منظور پیاده‌سازی سایر پیشنهادات، ما باید بعضی از بخش‌های ساختار اصلی برنامه خود را تغییر دهیم. این موضوع بیشتر از تخمین‌های ما طول می‌کشد اما بر روی آنها کار می‌کنیم. هیچکدام از این مسائل هیچگونه خطرات امنیتی برای کاربران ایجاد نمی‌کنند زیرا اتمیک ولت، یک کیف پول غیرحضانتی است و تمام اطلاعات بر روی دستگاه کاربران ذخیره می‌شود. پیش‌بینی می‌کنیم که سایر پیشنهادات Least در سه ماهه دوم سال ۲۰۲۲ اجرا شود. پس از آن، برنامه را مجددا حسابرسی خواهیم کرد.

اتمیک ولت تاکنون تحت دو حسابرسی امنیتی قرار گرفته است. در حسابرسی دیگر که توسط DerSecur Ltd انجام شده، آمده است:

امتیاز امنیت این برنامه ۴.۷ است. این نتیجه بالاتر از میانگین امتیازات برنامه‌های حاضر در بازار است. این برنامه را می‌توان به حد کافی ایمن در نظر گرفت. با این حال، توصیه می‌کنیم به آسیب‌پذیری‌های کشف‌شده در این حسابرسی توجه ویژه‌ای شود.

امنیت اولویت اول ما است و دائما بر روی بهبود اتمیک ولت کار می‌کنیم. بنابراین، ما گزارش Least Authority را به دقت بررسی کردیم و توصیه‌های آن را به طور کامل در سه ماهه دوم ۲۰۲۲ پیاده‌سازی خواهیم کرد.

انتشار گزارش آسیب‌پذیری‌ها

ابتدا در اوایل سال ۲۰۲۱ بود که Least Authority برای بررسی طراحی سیستم Atomic Wallet و کدنویسی نسخه‌های دسکتاپ و موبایلی آن استخدام شد. در گزارشی که در ماه آوریل به اتمیک ارائه شد، آمده بود که آسیب‌پذیری‌ها و ناکارآمدی‌هایی وجود دارند که کاربران را در معرض خطر قرار می‌دهند.

این تیم تحقیقاتی بیان کرده است که اتمیک ولت در ماه نوامبر پاسخی به آنها ارسال کرده که طی آن، به بهبودها و به‌روزرسانی‌ها اشاره کرده است. هرچند، Least Authority پس از بررسی اقدامات اتمیک ولت برای بهبود کیف پول خود، متوجه شد که بسیاری از مسائل برطرف نشده‌اند.

طبق گزارش Least Authority، تلاش‌های بیشتر برای همکاری با اتمیک به منظور برطرف کردن مسائل امنیتی، موفقیت‌آمیز نبوده است.

اکنون پس از ۱۰ ماه، Least Authority گام بعدی برای هشدار دادن به کاربران اتمیک در خصوص خطرات بالقوه موجود در آسیب‌پذیری‌های کشف‌شده را برداشته است. این تیم امنیتی برای آنکه عوامل مخرب از اطلاعات موجود در این گزارش استفاده نکنند، جزییات دقیق یافته‌های خود را اعلام نکرده است.

آسیب‌پذیری‌های اتمیک ولت

تیم Least Authority آسیب‌پذیری‌های مهم زیر را در حسابرسی اتمیک ولت عنوان کرده است:

• کاربران فعلی در مقابل طیف گسترده‌ای از حملات آسیب‌پذیر هستند. این حملات به دلیل نوع استفاده اتمیک ولت از رمزنگاری، می‌توانند به از دست دادن سرمایه کاربران منجر شود.

• عدم پایبندی به استانداردهای توسعه و طراحی سیستم کیف پول و انجام بهترین اقدامات.

• عدم سندسازی منسجم این پروژه.

• استفاده نادرست از الکترون (Electron) که منجر به افزایش خطر آسیب‌پذیری‌های امنیتی بالقوه و خطاهای پیاده‌سازی می‌شود. الکترون چارچوبی برای ساخت برنامه‌های دسکتاپ است.