Uma vulnerabilidade na carteira Argent teria permitido que invasores roubassem fundos de usuários que não têm tutores.
De acordo com um relatório de pesquisadores do OpenZeppelin, o bug poderia ter permitido que invasores assumissem o controle de carteiras Argent, especialmente aquelas que não ativaram nenhum recurso de guardião .
Vulnerabilidade da carteira Argent explorada
O recurso Guardian permite que os usuários controlem certas ações de uma carteira, como recuperação e bloqueio da carteira. Para criar uma conta na plataforma, os usuários precisam configurar responsáveis. No entanto, as contas criadas antes de 30 de março de 2020 poderão ser criadas sem um responsável.
Os invasores exploraram um bug no código da Argent e desencadearam um processo de recuperação em contas que não configuraram um guardião. No entanto, os utilizadores podem proteger os seus fundos monitorizando regularmente as suas carteiras e cancelando o pedido de recuperação no prazo de 36 horas após a sua emissão.
Este é um período de recuperação padrão que agora pode ser usado para proteger os fundos dos usuários. No entanto, se o usuário bloquear uma tentativa de recuperação, o bug na carteira o deixará vulnerável a um ataque de negação de serviço que pode congelar seus fundos por um período de tempo defi .
Isso pode ser feito solicitando repetidamente a recuperação da carteira para que a conta permaneça no período de recuperação e o usuário não consiga acessar os fundos.
Solução
A equipe de Argent relatou que usaria a correção do OpenZeppelin que impediria que invasores acionassem uma recuperação de carteira . Devido ao grande número de carteiras que não possuem tutores, a empresa sugeriu a adição de uma função que garantiria que se uma carteira tivesse zero tutores, a solicitação não seria devolvida.
A Argent revelou que já estava entrando em contato com os usuários afetados para configurar pelo menos um guardião para sua carteira .
