Una vulnerabilidad en la billetera Argent habría permitido a los atacantes robar fondos de usuarios que no tienen tutores.
Según un informe de investigadores de OpenZeppelin, el error podría haber permitido a los atacantes apoderarse de las billeteras Argent, especialmente aquellas que no tienen activada ninguna función de protección .
Vulnerabilidad de la billetera Argent explotada
La función de guardián permite a los usuarios controlar ciertas acciones de una billetera, como recuperarla y bloquearla. Para crear una cuenta en la plataforma, es necesario configurar guardianes. Sin embargo, las cuentas creadas antes del 30 de marzo de 2020 pueden configurarse sin un guardián.
Los atacantes aprovecharon un error en el código de Argent y activaron un proceso de recuperación en cuentas que no tenían un guardián. Sin embargo, los usuarios pueden proteger sus fondos monitoreando regularmente sus billeteras y cancelando la solicitud de recuperación dentro de las 36 horas posteriores a su emisión.
Este es un período de recuperación predeterminado que ahora se puede usar para proteger los fondos del usuario. Sin embargo, si el usuario bloquea un intento de recuperación, el error en la billetera lo deja vulnerable a un ataque de denegación de servicio que podría congelar sus fondosdefi.
Esto se puede hacer solicitando repetidamente la recuperación de la billetera para que la cuenta permanezca en el período de recuperación y el usuario no pueda acceder a los fondos.
Solución
El equipo de Argent informó que utilizaría la solución de OpenZeppelin que impediría que los atacantes activaran la recuperación de la billetera . Debido a la gran cantidad de billeteras sin guardianes, la empresa sugirió añadir una función que garantizaría que, si una billetera no tiene guardianes, la solicitud no se devuelva.
Argent reveló que ya estaba contactando a los usuarios afectados para configurar al menos un guardián para su billetera .
