كانت الثغرة الأمنية في المحفظة الأرجنتينية ستمكن المهاجمين من سرقة الأموال من المستخدمين الذين ليس لديهم أوصياء.
وفقًا لتقرير صادر عن باحثين في OpenZeppelin ، كان من الممكن أن يكون الخطأ قد سمح للمهاجمين بالاستيلاء على محافظ Argent ، خاصة تلك التي لم تقم بتنشيط أي ميزات ولي الأمر .
تم استغلال ضعف محفظة Argent
تتيح ميزة الوصي للمستخدمين التحكم في إجراءات معينة للمحفظة مثل استرداد المحفظة وقفلها. لإنشاء حساب على النظام الأساسي ، يحتاج المستخدمون إلى إعداد الأوصياء. ومع ذلك ، يمكن إنشاء الحسابات التي تم إنشاؤها قبل 30 مارس 2020 بدون وصي.
استغل المهاجمون خطأً في رمز Argent وأطلقوا عملية استرداد على الحسابات التي لم تُنشئ وصيًا. ومع ذلك ، يمكن للمستخدمين حماية أموالهم من خلال مراقبة محافظهم بانتظام وإلغاء طلب الاسترداد في غضون 36 ساعة من إصداره.
هذه فترة استرداد افتراضية يمكن استخدامها الآن لحماية أموال المستخدم. ومع ذلك ، إذا قام المستخدم بحظر محاولة الاسترداد ، فإن الخطأ الموجود في المحفظة يجعله عرضة لهجوم رفض الخدمة الذي قد يؤدي إلى تجميد أمواله لفترة زمنية defi .
يمكن القيام بذلك عن طريق طلب استرداد المحفظة بشكل متكرر حتى يظل الحساب في فترة الاسترداد ولن يتمكن المستخدم من الوصول إلى الأموال.
حل
أفاد فريق Argent أنهم سيستخدمون إصلاح OpenZeppelin الذي من شأنه أن يمنع المهاجمين من بدء استرداد المحفظة . نظرًا للعدد الكبير من المحافظ التي لا تحتوي على أوصياء ، اقترحت الشركة إضافة وظيفة من شأنها ضمان أنه إذا كانت المحفظة لا تحتوي على أوصياء ، فلن يتم إرجاع الطلب.
كشفت Argent أنها كانت تتصل بالفعل بالمستخدمين المتأثرين لإعداد وصي واحد على الأقل لمحفظتهم .
