No começo do mês a Beam, uma nova criptomoeda, foi lançada em sua rede principal. A moeda chamou bastante atenção por ser a primeira a adotar o protocolo Mimblewimble, garantindo a privacidade total de seus usuários. Porém, menos de uma semana depois, os desenvolvedores descobriram uma “vulnerabilidade crítica” em sua carteira e recomendaram a desinstalação do software.
O anúncio foi feito no Twitter oficial da equipe de desenvolvimento:
CRITICAL VULNERABILITY IN BEAM WALLET
9.1.2019 20:20 GMT
Critical Vulnerability was found in Beam Wallet today.
Vulnerability was discovered by Beam Dev Team and not reported anywhere else.
Vulnerability affects all previously released Beam Wallets both Dekstop and CLI.
— BeamPrivacy (@beamprivacy) January 9, 2019
“Vulnerabilidade crítica na carteira Beam
1.9.2019 20:20 GMT
A vulnerabilidade crítica foi encontrada na carteira Beam hoje.
A vulnerabilidade foi descoberta pelo time de desenvolvimento e não foi relatada em nenhum outro lugar.
A vulnerabilidade afeta todas as versões anteriores da carteira Beam, tanto para desktop quanto para a versão ILC”.
Nos tweets que seguem a thread, a equipe do Beam recomendou que os usuários desinstalassem a carteira imediatamente e baixassem de novo uma versão com o erro corrigido. A página do GitHub do projeto diz que “Detalhes da vulnerabilidade e do CVE não serão publicados antes do período de uma semana para evitar exploits”.
Na página também foi informado que:
“A vulnerabilidade afeta todas as versões anteriores da carteira Beam, tanto para desktop quando para ILC. Não delete o banco de dados ou qualquer outro dado da carteira. A vulnerabilidade não afeta os dados da carteira, senhas e chaves de segurança”.
No tweet de anúncio e na página GitHub a equipe também esclarece que o problema foi encontrado exclusivamente pelo time de desenvolvedores. Isso quer dizer que ninguém explorou o erro (supostamente) antes de avisar sobre o problema para os desenvolvedores.
Já no Discord, o CTO da Beam, Alex Romanov, disse que o problema já foi corrigido e que as mineradoras e nodes não foram afetados.
Apesar das informações de que o problema já foi solucionado, alguns usuários da carteira notaram que, ao baixar a nova versão, supostamente corrigida, o número a versão é exatamente o mesmo que o da carteira anterior, o que é não algo comum no desenvolvimento de aplicativos.
A descoberta da vulnerabilidade e falta de informações concretas pode fazer com que a Beam tenha um problema de confiança que pode ser muito prejudicial logo no começo da sua carreira.
