OpenZeppelin rivela una "vulnerabilità di elevata gravità" nel portafoglio DeFi Argent

Secondo i principali hacker white-hat OpenZeppelin, è stata trovata e corretta una "vulnerabilità di gravità elevata" nel portafoglio Ethereum Argent.

DivulgatoVenerdìLa ricercatrice sulla sicurezza di OpenZeppelin ALICE Henshaw ha scoperto una vulnerabilità in Argent che avrebbe consentito di prosciugare i fondi degli utenti dai portafogli che non disponevano della funzionalità "guardiano" di Argent.

Secondo un OpenZepplinpost del blog e comunicato stampa, la notizia della Da scoprire è stata condivisa per la prima volta con Argent il 12 giugno:

"La ricerca di OpenZeppelin ha rivelato un errore nell'ultima versione degli smart contract di Argent che consentirebbe a chiunque di attivare il processo di recupero del portafoglio senza una firma, su qualsiasi portafoglio con zero guardiani, non appena il portafoglio viene aggiornato".

Se attaccati, gli utenti avevano solo 36 ore per impedire il drenaggio dei fondi del portafoglio. Anche in quel caso, gli utenti avrebbero potuto vedere i loro fondi congelati tramite un attacco Denial-of-Service (DoS), ha scritto OpenZeppelin.

Secondo Henshaw, la vulnerabilità è derivata da un aggiornamento del portafoglio del 30 marzo. OpenZeppelin ha affermato che 329 portafogli con 162 ether (ETH) e token Finanza decentralizzata (DeFi) non divulgati erano a rischio. Anche altri 5.513 portafogli erano vulnerabili, una volta aggiornati al nuovo software Argent, afferma il blog.

Nessun fondo Argent è stato interessato ed è stata emessa una patch, secondo la società. Henshaw ha ricevuto $ 25.000 in DAI come risarcimento.

"Solo 61 wallet senza Guardians e con l'aggiornamento interessato erano a rischio", ha detto a CoinDesk il portavoce di Argent Matthew Wright. "Il nostro modello di sicurezza significava che avevano 36 ore per bloccarlo semplicemente toccando 'Annulla' nell'app. 0 fondi sono andati persi. Pensiamo che evidenzi i vantaggi di avere un modello di sicurezza open source e siamo lieti di assegnare a OpenZeppelin una ricompensa per il loro lavoro".

Argent ha riconosciuto la vulnerabilità in un tweet venerdì mattina, ringraziando OpenZeppelin per il suo lavoro:

A marzo,Argent ha raccolto 12 milioni di dollari in una serie A guidata da Paradigm Ventures. Il portafoglio si integra nativamente con i prodotti DeFi più popolari come Maker e Compound.

"La vulnerabilità scoperta dai nostri ricercatori di sicurezza avrebbe potuto portare molti utenti a perdere il controllo dei propri fondi mentre effettuavano l'aggiornamento all'ultima versione del portafoglio Argent", ha affermato in una dichiarazione il CEO di OpenZeppelin Demian Brener. "Il team Argent ha preso QUICK provvedimenti per risolvere questo problema in modo che i fondi degli utenti non subissero alcun impatto".