Una vulnerabilidad en la billetera Argent habría permitido a los atacantes robar fondos de usuarios que no tienen tutores.
Según un informe de los investigadores de OpenZeppelin, el error podría haber permitido a los atacantes apoderarse de las billeteras Argent, especialmente aquellas que no han activado ninguna función de guardián .
Vulnerabilidad de billetera Argent explotada
La función de guardián permite a los usuarios controlar ciertas acciones de una billetera, como recuperarla y bloquearla. Para crear una cuenta en la plataforma, los usuarios deben configurar tutores. Sin embargo, las cuentas creadas antes del 30 de marzo de 2020 podrían configurarse sin un tutor.
Los atacantes aprovecharon un error en el código de Argent y activaron un proceso de recuperación en las cuentas que no habían configurado un tutor. Sin embargo, los usuarios pueden proteger sus fondos monitoreando regularmente sus billeteras y cancelando la solicitud de recuperación dentro de las 36 horas posteriores a su emisión.
Este es un período de recuperación predeterminado que ahora se puede usar para proteger los fondos de los usuarios. Sin embargo, si el usuario bloquea un intento de recuperación, el error en la billetera lo deja vulnerable a un ataque de denegación de servicio que podría congelar sus fondos por un período de tiempo defi .
Esto se puede hacer solicitando repetidamente una recuperación de billetera para que la cuenta permanezca en el período de recuperación y el usuario no pueda acceder a los fondos.
Solución
El equipo de Argent informó que usaría la solución de OpenZeppelin que evitaría que los atacantes activaran una recuperación de billetera . Debido a la gran cantidad de billeteras que no tienen tutores, la firma sugirió agregar una función que aseguraría que si una billetera no tiene tutores, la solicitud no será devuelta.
Argent reveló que ya se estaba comunicando con los usuarios afectados para configurar al menos un guardián para su billetera .