Une vulnérabilité dans le portefeuille Argent aurait permis aux attaquants de voler des fonds à des utilisateurs qui n'ont pas de tuteurs.
Selon un rapport de chercheurs d'OpenZeppelin, le bogue aurait pu permettre à des attaquants de prendre le contrôle des portefeuilles Argent, en particulier ceux qui n'ont activé aucune fonctionnalité de gardien .
Vulnérabilité du portefeuille Argent exploitée
La fonction de gardien permet aux utilisateurs de contrôler certaines actions d'un portefeuille telles que la récupération d'un portefeuille et son verrouillage. Pour créer un compte sur la plateforme, les utilisateurs doivent configurer des tuteurs. Cependant, les comptes créés avant le 30 mars 2020 pourraient être configurés sans tuteur.
Les attaquants ont exploité un bogue dans le code d'Argent et déclenché un processus de récupération sur les comptes qui n'ont pas configuré de tuteur. Cependant, les utilisateurs peuvent protéger leurs fonds en surveillant régulièrement leurs portefeuilles et en annulant la demande de récupération dans les 36 heures suivant son émission.
Il s'agit d'une période de récupération par défaut qui peut désormais être utilisée pour protéger les fonds des utilisateurs. Cependant, si l'utilisateur bloque une tentative de récupération, le bogue dans le portefeuille le rend vulnérable à une attaque par déni de service qui pourrait geler ses fonds pendant une période de defi indéterminée.
Cela peut être fait en demandant à plusieurs reprises une récupération de portefeuille afin que le compte reste dans la période de récupération et que l'utilisateur ne puisse pas accéder aux fonds.
La solution
L'équipe d'Argent a indiqué qu'elle utiliserait le correctif d'OpenZeppelin qui empêcherait les attaquants de déclencher une récupération de portefeuille . En raison du grand nombre de portefeuilles qui n'ont pas de tuteurs, la firme a suggéré l'ajout d'une fonction qui garantirait que si un portefeuille n'a aucun tuteur, la demande ne sera pas retournée.
Argent a révélé qu'il contactait déjà les utilisateurs concernés pour mettre en place au moins un tuteur pour leur portefeuille .