Chivo - «хотели как лучше, получилось как всегда».
В октябре мы с коллегами
разбирали структуру мобильного кошелька
Chivo, к использованию которого склоняет сальвадорцев их правительство. Нас интересовал вопрос, идут ли транзакции в чейне Bitcoin, потому как мы наблюдали довольно большое количество иронии на тему «стоимость транзакции будет дороже вашей условной чашки кофе». Уже в описании приложения наглядно видно, что транзакции между пользователями самого кошелька НЕ проводятся в нативном чейне биткоина (отсутствие комиссий и мгновенные переводы). Да, приложение может использоваться, как полноценный биткоин кошелек для связи с «внешними» кошельками, но данные платежи идут согласно обычным условиям.
«
Chivo Wallet is the official Bitcoin and Dollar wallet of the Government of El Salvador. Chivo Wallet allows you to send and receive Bitcoin and / or Dollar between Salvadorans without commission, in the same way it allows users to exchange Bitcoin for Dollar or vice versa without commission. Additionally Chivo is compatible with other Bitcoin on-chain and Lightning wallets. Finally, Chivo connects with the banking system of El Salvador to deposit or withdraw dollars from the platform, and with a network of Chivo ATMs to deposit and withdraw dollars in cash. Chivo has a company version that allows you to charge, assign payment terminals for employees, and pay taxes quickly and easily.» Из чего следует, что, в рамках рутинного использования (для покупок и прочего), Chivo является не полноценным биткоин-кошельком, а неким суррогатом, с полностью централизованной базой, под контролем правительства. Так же, при помощи сервиса Immuniweb, нами было проведено подробное сканирование приложения на возможные уязвимости, запрашиваемые привилегии и обращения ко внешним сервисам. Результаты получились довольно сомнительные, говорящие о возможном наличии целого спектра уязвимостей (случайных или намеренных), повышенном интересе к личным (sensitive) данным пользователя, и прочих небезопасным для подобного рода софта решениях. Конечно, автоматизированные сервисы для поиска уязвимостей определяют возможные проблемы разных уровней критичности и какие из них являются false positives, а какие на самом деле опасные - эти дальнейшие размышления/исследования мы оставляем нашим читателям. Но, тем не менее, вполне вероятно, что последняя нашумевшая
история с самопроизвольными транзакциями и списаниями у довольно большого количества пользователей приложения, следствие именно этих недоработок. На текущий момент известно о потерях в размере порядка 96к долларов.
Для интересующихся приводим ссылку на
полную версию отчета сканирования.
Или же вы можете скачать PDF у нас в
чате.
