كان من شأن ثغرة أمنية في محفظة Argent أن تمكن المهاجمين من سرقة الأموال من المستخدمين الذين ليس لديهم أوصياء.
وفقًا لتقرير أعده باحثون في OpenZeppelin، كان من الممكن أن يسمح هذا الخلل للمهاجمين بالسيطرة على محافظ Argent، وخاصة تلك التي لم تقم بتفعيل أي ميزات حماية .
استغلال ثغرة أمنية في محفظة أرجنت
تتيح ميزة الحماية للمستخدمين التحكم في بعض وظائف المحفظة، مثل استعادة المحفظة وقفلها. لإنشاء حساب على المنصة، يحتاج المستخدمون إلى تعيين حماة. مع ذلك، يمكن إنشاء الحسابات التي أُنشئت قبل 30 مارس 2020 بدون حماة.
استغل المهاجمون ثغرة في نظام أرجنت البرمجي، ما أدى إلى تفعيل عملية استرداد الأموال للحسابات التي لم تُفعّل فيها خدمة الحماية. مع ذلك، يمكن للمستخدمين حماية أموالهم من خلال مراقبة محافظهم بانتظام وإلغاء طلب الاسترداد خلال 36 ساعة من إصداره.
هذه فترة استرداد افتراضية يمكن استخدامها الآن لحماية أموال المستخدم. مع ذلك، إذا قام المستخدم بحظر محاولة الاسترداد، فإن الخلل في المحفظة يجعله عرضة لهجوم حجب الخدمة الذي قد يُجمّد أمواله لفترة غيرdefi.
يمكن القيام بذلك عن طريق طلب استعادة المحفظة بشكل متكرر بحيث يبقى الحساب في فترة الاستعادة ولن يتمكن المستخدم من الوصول إلى الأموال.
حل
أفاد فريق أرجنت أنهم سيستخدمون إصلاح OpenZeppelin الذي يمنع المهاجمين من تفعيل استعادة المحفظة . ونظرًا للعدد الكبير من المحافظ التي لا يوجد بها أوصياء، اقترحت الشركة إضافة وظيفة تضمن عدم إرجاع الطلب إذا لم يكن للمحفظة أي أوصياء.
كشفت شركة أرجنت أنها تتواصل بالفعل مع المستخدمين المتضررين لتعيين وصي واحد على الأقل لمحفظتهم .
