Os atacantes podem ter explorado uma falha na carteira Argent para roubar fundos de usuários

Uma vulnerabilidade na carteira Argent teria permitido que invasores roubassem fundos de usuários sem responsáveis ​​legais.

De acordo com um relatório de pesquisadores da OpenZeppelin, a falha poderia ter permitido que invasores assumissem o controle de carteiras Argent, especialmente aquelas que não tinham ativado nenhum recurso de proteção.

Vulnerabilidade da carteira Argent explorada

O recurso de guardião permite que os usuários controlem certas ações de uma carteira, como a recuperação e o bloqueio da mesma. Para criar uma conta na plataforma, os usuários precisam configurar guardiões. No entanto, contas criadas antes de 30 de março de 2020 podiam ser configuradas sem um guardião.

Os atacantes exploraram uma falha no código da Argent e acionaram um processo de recuperação em contas que não configuraram um guardião. No entanto, os usuários podem proteger seus fundos monitorando regularmente suas carteiras e cancelando a solicitação de recuperação em até 36 horas após o seu recebimento.

Este é um período de recuperação padrão que agora pode ser usado para proteger os fundos do usuário. No entanto, se o usuário bloquear uma tentativa de recuperação, a falha na carteira o deixa vulnerável a um ataque de negação de serviço que pode congelar seus fundos por um períododefi.

Isso pode ser feito solicitando repetidamente a recuperação da carteira, de forma que a conta permaneça no período de recuperação e o usuário não consiga acessar os fundos.

Solução

A equipe da Argent informou que usaria a correção da OpenZeppelin que impediria os atacantes de acionar uma recuperação de carteira. Devido ao grande número de carteiras sem guardiões, a empresa sugeriu a adição de uma função que garantiria que, se uma carteira não tiver nenhum guardião, a solicitação não seja retornada.

A Argent revelou que já está entrando em contato com os usuários afetados para configurar pelo menos um responsável pela segurança de sua carteira.