Una vulnerabilità nel portafoglio Argent avrebbe consentito agli aggressori di rubare fondi a utenti che non hanno tutori.
Secondo un rapporto dei ricercatori di OpenZeppelin, il bug avrebbe potuto consentire agli aggressori di impossessarsi dei portafogli Argent, soprattutto quelli che non hanno attivato alcuna funzionalità di guardian .
Sfruttata la vulnerabilità del portafoglio Argent
La funzione di guardiano consente agli utenti di controllare determinate azioni di un portafoglio come il ripristino e il blocco del portafoglio. Per creare un account sulla piattaforma, gli utenti devono impostare dei tutori. Tuttavia, gli account creati prima del 30 marzo 2020 potrebbero essere configurati senza un tutore.
Gli aggressori hanno sfruttato un bug nel codice di Argent e hanno avviato un processo di ripristino sugli account che non avevano impostato un tutore. Tuttavia, gli utenti possono proteggere i propri fondi monitorando regolarmente i propri portafogli e annullando la richiesta di recupero entro 36 ore dalla sua emissione.
Questo è un periodo di recupero predefinito che ora può essere utilizzato per proteggere i fondi degli utenti. Tuttavia, se l'utente blocca un tentativo di ripristino, il bug nel portafoglio lo rende vulnerabile a un attacco di negazione del servizio che potrebbe congelare i suoi fondi per un periodo di tempo defi .
Questo può essere fatto richiedendo ripetutamente il recupero del portafoglio in modo che l'account rimanga nel periodo di recupero e l'utente non possa accedere ai fondi.
Soluzione
Il team di Argent ha riferito che utilizzerebbe la soluzione di OpenZeppelin che impedirebbe agli aggressori di attivare un ripristino del portafoglio . A causa del gran numero di portafogli che non hanno guardiani, l'azienda ha suggerito l'aggiunta di una funzione che garantirebbe che se un portafoglio non ha guardiani, la richiesta non verrà restituita.
Argent ha rivelato che stava già contattando gli utenti interessati per impostare almeno un tutore per il loro portafoglio .