Autor: ArweaveB

Tradução: Haocheng Xu

Revisor: Kyle

Fonte: Content Guild - Tradução

O projeto ArConnect anunciou que concluiu uma auditoria em seu código-fonte e corrigiu com sucesso os problemas expostos.

ArConnect, a carteira líder no ecossistema Arweave, foi a primeira carteira a passar por uma auditoria de segurança em agosto de 2023. Afirmou que uma segunda auditoria foi realizada durante 12 dias em abril de 2024 e que a segurança era a principal prioridade.

Tate Berenbaum, CEO da Community Labs, chamou o relatório de “sólido” e que era “muito mais importante do que qualquer métrica de uso”.

Os últimos resultados da auditoria foram conduzidos pela Spearbit e Open Security e publicados na Open Security Risk Assessment. O objetivo da auditoria é identificar possíveis métodos de ataque contra a extensão do navegador ArConnect que podem ser explorados por terceiros.

O relatório afirma que a auditoria utilizou métodos desenvolvidos pelo Open Web Application Security Project (OWASP). Toda a auditoria foi realizada no Google Chrome com a versão de desenvolvimento da extensão do navegador ArConnect instalada.

Os auditores desenvolveram provas de conceito maliciosas personalizadas para testar vulnerabilidades suspeitas. Eles também modificaram e testaram uma versão de desenvolvimento da extensão do navegador Connect com código-fonte modificado maliciosamente, hospedaram um servidor web com uma carga maliciosa e depuraram a extensão do navegador.

A auditoria de segurança não encontrou nenhum risco crítico, um risco alto e cinco vulnerabilidades informacionais. No entanto, o relatório afirma que todos os problemas descobertos foram corrigidos apenas para uma gravidade informativa.

Ao descrever vulnerabilidades de dependência de código aberto classificadas como de alto risco na auditoria, os auditores observaram que a segurança das dependências, que também fazem parte da cadeia de fornecimento de software, é uma importante superfície de ataque. O relatório afirma que a cadeia de abastecimento pode afetar a segurança de um produto a qualquer momento durante o processo de desenvolvimento através de malware que ataca as próprias ferramentas do desenvolvedor ou simplesmente introduz vulnerabilidades no software.

“O principal risco do ArConnect surge de vulnerabilidades em dependências de código aberto”, observaram os auditores, acrescentando: “Os Community Labs devem atualizar e aplicar continuamente patches upstream às dependências de código aberto para evitar ataques à cadeia de suprimentos”.

Os auditores também recomendaram alterações no código para fortalecer a extensão do navegador Connect.

🏆 Prêmios por "detectar bugs": Se você encontrar erros de digitação, frases incorretas ou descrições incorretas neste artigo, clique em mim para denunciar e você receberá incentivos.

🔗 Sobre PermaDAO: Site Oficial | Portal Twitter | Discord |