Argent ウォレットの脆弱性により、攻撃者は保護者のいないユーザーから資金を盗むことができた可能性があります。.
報告によるとガーディアン機能が有効になっていないウォレットを乗っ取ることができた可能性があるとのことです。
Argentウォレットの脆弱性が悪用される
ガーディアン機能を使用すると、ウォレットの復元やロックなど、ウォレットの特定のアクションをユーザーが制御できます。プラットフォームでアカウントを作成するには、ガーディアンを設定する必要があります。ただし、2020年3月30日より前に作成されたアカウントは、ガーディアンなしで設定できます。.
攻撃者はArgentのコードのバグを悪用し、ガーディアンを設定していないアカウントで復旧プロセスを開始しました。しかし、ユーザーはウォレットを定期的に監視し、復旧リクエストの発行から36時間以内にキャンセルすることで、資金を保護することができます。.
これはデフォルトの回復期間であり、ユーザーの資金を保護するために使用できます。ただし、ユーザーが回復の試みをブロックした場合、ウォレットのバグによりサービス拒否攻撃の脆弱性が生じ、資金がdefi期限に凍結される可能性があります。.
これは、ウォレットの回復を繰り返しリクエストすることで実行でき、アカウントは回復期間中のままとなり、ユーザーは資金にアクセスできなくなります。.
解決
ウォレットの復元をトリガーするのを阻止するOpenZeppelinの修正プログラムを使用する予定であると報告した。ガーディアンを持たないウォレットが多数存在するため、同社は、ウォレットにガーディアンが0人しかいない場合、リクエストが返されないようにする機能の追加を提案した。
ウォレットに少なくとも 1 人の保護者を設定するよう求めていることを明らかにした。
