A empresa especializada em segurança digital e auditoria de softwares e protocolos, Least Authority, publicou um aviso afirmando que a carteira Atomic Wallet – com suporte para mais de 300 moedas e tokens – possui vulnerabilidades que oferecem risco de perda total de fundos para seus usuários.
Quem é a Least Authority?
A empresa Least Authority foi fundada em 2011 nos Estados Unidos e depois se mudou para Berlim e oferece serviços de auditoria, assessoria, consultoria e desenvolvimento, focados em segurança digital.
Sua missão é “construir e apoiar o desenvolvimento de soluções de tecnologias utilizáveis e práticas comerciais éticas para promover a segurança digital e preservar a privacidade como um direito humano fundamental.”
Divulgação de vulnerabilidades de segurança na Atomic Wallet
No dia 10 de fevereiro de 2022 (quinta-feira), a empresa fez uma publicação em seu blog, alertando a comunidade para falhas de segurança na carteira com mais de 300 moedas e tokens – Atomic Wallet.
A empresa especialista em segurança disse que iniciaram sua investigação sobre a carteira no dia 03 de março de 2021 e concluíram o relatório de auditoria que foi entregue, no dia 07 de abril de 2021 (um mês depois), para a equipe de desenvolvimento da Atomic Wallet.
Ainda segundo a publicação, a equipe da AW respondeu no dia 16 de novembro de 2021, tendo corrigido parte das falhas apontadas pelo relatório, mas ignorando uma grande parte de outras solicitações realizadas pela Least Authority.
A falta de resolução sobre estas solicitações oferece um risco elevado de perda total de fundos, de acordo com a empresa, que considera a Atomic Wallet imprópria para uso em seu atual estado de desenvolvimento, e deveria ser evitada por parte dos usuários que não querem se expor a esse risco.
Eles ainda afirmam que:
“Fornecemos à equipe da Atomic Wallet várias oportunidades para abordar os problemas em nosso relatório e entramos em contato várias vezes para informá-los sobre nosso raciocínio e intenções antes de publicar essa postagem no blog.”
“No entanto, eles não forneceram uma resposta suficiente ou oportuna após várias sugestões de nossa equipe incentivando sua participação proativa nesta divulgação para alertar os usuários.”
A Least Authority não divulgou o relatório completo sob a justificativa de que isso poderia incentivar algum atacante a explorar as vulnerabilidades encontradas, causando um efeito reverso ao pretendido, podendo expor os usuários a um risco ainda maior.
Neste momento de incerteza é recomendado cautela e atenção no uso do aplicativo e aguardar um esclarecimento por parte da equipe de desenvolvimento.
Resposta da Atomic Wallet (atualização)
Um representante da Atomic Wallet (u/AlmightyshO) respondeu uma postagem minha no reddit dizendo que:
“Atomic tem a confiança de mais de 3 milhões de usuários em todo o mundo há mais de 3 anos. Não experimentamos nenhum hack, exceto aqueles relacionados ao comportamento humano.”
“Passamos por duas auditorias de segurança de empresas diferentes. Meses de estreita cooperação. No entanto, nada de crítico, que pudesse levar à perda de fundos dos usuários, foi encontrado. A maioria dos problemas foram corrigidos. Publicaremos os resultados da auditoria em breve. Aqui está o nosso breve esclarecimento.”
“Levamos em conta todos os problemas descobertos pela Least Authority”; segundo o CEO da Atomic Wallet – Konstantin Gladych:
- Para alguns problemas, já lançamos os patches correspondentes e notificamos Least Authority sobre isso.
- Para implementar as sugestões restantes, precisaremos retrabalhar algumas partes da arquitetura principal do nosso aplicativo. Isso levará mais algum tempo de acordo com nossa estimativa, mas estamos trabalhando nisso.
- Nenhum desses problemas representa riscos de segurança para nossos usuários, pois a Atomic é uma carteira sem custódia e todos os dados são armazenados localmente nos dispositivos dos usuários. Esperamos implementar o restante das sugestões de Least no segundo trimestre de 2022. Assim que terminarmos, auditaremos novamente o aplicativo.
- A Atomic Wallet passou por duas auditorias de segurança até agora. A outra auditoria, conduzida pela DerSecur Ltd, afirmou: “A pontuação média de segurança do aplicativo é 4,7. Esse resultado é superior à média do mercado. O aplicativo pode ser considerado seguro o suficiente, no entanto, recomendamos chamar a atenção para vulnerabilidades descobertas durante a auditoria e consultar os resultados detalhados.”
- A segurança é nossa maior prioridade e estamos trabalhando continuamente para melhorar a Atomic Wallet. Portanto, analisamos minuciosamente o relatório de Least e concluiremos a implementação completa de suas recomendações no segundo trimestre de 2022.
Leia mais:
