Уязвимость в кошельке Argent позволила бы злоумышленникам украсть средства у пользователей, не имеющих опекунов.
Согласно отчету исследователей из OpenZeppelin, эта ошибка могла позволить злоумышленникам захватить контроль над кошельками Argent, особенно над теми, у которых не были активированы какие-либо функции защиты .
Уязвимость кошелька Argent использована злоумышленниками
Функция «Хранитель» позволяет пользователям контролировать определенные действия кошелька, такие как восстановление кошелька и его блокировка. Для создания учетной записи на платформе пользователям необходимо настроить «Хранителей». Однако учетные записи, созданные до 30 марта 2020 года, можно было настроить без «Хранителя».
Злоумышленники воспользовались ошибкой в коде Argent и запустили процесс восстановления для учетных записей, у которых не был настроен защитник. Однако пользователи могут защитить свои средства, регулярно отслеживая свои кошельки и отменяя запрос на восстановление в течение 36 часов после его отправки.
Это стандартный период восстановления, который теперь можно использовать для защиты средств пользователя. Однако, если пользователь заблокирует попытку восстановления, ошибка в кошельке сделает его уязвимым для атаки типа «отказ в обслуживании», которая может заморозить его средства наdefiпериод времени.
Это можно сделать, многократно запрашивая восстановление кошелька, чтобы учетная запись оставалась в периоде восстановления, и пользователь не мог получить доступ к средствам.
Решение
Команда Argent сообщила, что будет использовать исправление OpenZeppelin, которое предотвратит попытки злоумышленников инициировать восстановление кошелька . Из-за большого количества кошельков, не имеющих хранителей, компания предложила добавить функцию, которая гарантирует, что если у кошелька нет хранителей, запрос не будет возвращен.
Компания Argent сообщила, что уже связывается с пострадавшими пользователями, чтобы настроить как минимум одного хранителя для их кошелька .
