Bagikan artikel ini
OpenZeppelin rivela una "vulnerabilità di elevata gravità" nel portafoglio DeFi Argent
Secondo i principali hacker white-hat OpenZeppelin, è stata trovata e corretta una "vulnerabilità di gravità elevata" nel portafoglio Ethereum Argent.
Oleh William Foxley
Diperbarui 14 Sep 2021, 8.54 a.m. Diterbitkan 19 Jun 2020, 3.28 p.m. 2 min readDiterjemahkan oleh AI
Secondo i principali hacker white-hat OpenZeppelin, è stata trovata e corretta una "vulnerabilità di gravità elevata" nel portafoglio Ethereum Argent.
DivulgatoVenerdìLa ricercatrice sulla sicurezza di OpenZeppelin ALICE Henshaw ha scoperto una vulnerabilità in Argent che avrebbe consentito di prosciugare i fondi degli utenti dai portafogli che non disponevano della funzionalità "guardiano" di Argent.
Secondo un OpenZepplinpost del blog e comunicato stampa, la notizia della Da scoprire è stata condivisa per la prima volta con Argent il 12 giugno:
"La ricerca di OpenZeppelin ha rivelato un errore nell'ultima versione degli smart contract di Argent che consentirebbe a chiunque di attivare il processo di recupero del portafoglio senza una firma, su qualsiasi portafoglio con zero guardiani, non appena il portafoglio viene aggiornato".
Se attaccati, gli utenti avevano solo 36 ore per impedire il drenaggio dei fondi del portafoglio. Anche in quel caso, gli utenti avrebbero potuto vedere i loro fondi congelati tramite un attacco Denial-of-Service (DoS), ha scritto OpenZeppelin.
Secondo Henshaw, la vulnerabilità è derivata da un aggiornamento del portafoglio del 30 marzo. OpenZeppelin ha affermato che 329 portafogli con 162 ether (ETH) e token Finanza decentralizzata (DeFi) non divulgati erano a rischio. Anche altri 5.513 portafogli erano vulnerabili, una volta aggiornati al nuovo software Argent, afferma il blog.
Nessun fondo Argent è stato interessato ed è stata emessa una patch, secondo la società. Henshaw ha ricevuto $ 25.000 in DAI come risarcimento.
"Solo 61 wallet senza Guardians e con l'aggiornamento interessato erano a rischio", ha detto a CoinDesk il portavoce di Argent Matthew Wright. "Il nostro modello di sicurezza significava che avevano 36 ore per bloccarlo semplicemente toccando 'Annulla' nell'app. 0 fondi sono andati persi. Pensiamo che evidenzi i vantaggi di avere un modello di sicurezza open source e siamo lieti di assegnare a OpenZeppelin una ricompensa per il loro lavoro".
Argent ha riconosciuto la vulnerabilità in un tweet venerdì mattina, ringraziando OpenZeppelin per il suo lavoro:
We're grateful to @OpenZeppelin for helping us find & fix an issue affecting 61 legacy wallets with no Guardians.
— Argent (@argentHQ) June 19, 2020
0 users were impacted, 0 funds lost.
Here are the full details: https://t.co/cNbcYExMEY
A marzo,Argent ha raccolto 12 milioni di dollari in una serie A guidata da Paradigm Ventures. Il portafoglio si integra nativamente con i prodotti DeFi più popolari come Maker e Compound.
"La vulnerabilità scoperta dai nostri ricercatori di sicurezza avrebbe potuto portare molti utenti a perdere il controllo dei propri fondi mentre effettuavano l'aggiornamento all'ultima versione del portafoglio Argent", ha affermato in una dichiarazione il CEO di OpenZeppelin Demian Brener. "Il team Argent ha preso QUICK provvedimenti per risolvere questo problema in modo che i fondi degli utenti non subissero alcun impatto".
Lebih untuk Anda
Andrew Gault, il venture capitalist che ha finanziato i laboratori di hardware quantistico ora minacciosi per bitcoin, afferma che il settore sta guardando nella direzione sbagliata. Il team di sicurezza di Google ha preso la stessa direzione a marzo.
Yang perlu diketahui:
- Gli esperti di sicurezza avvertono che la minaccia quantistica più urgente per bitcoin e per l'intero sistema finanziario non riguarda le chiavi dei portafogli, ma i dati di autenticazione crittografati già in transito tra le istituzioni e che vengono raccolti silenziosamente oggi.
- Gli avversari stanno perseguendo una strategia di “raccogli...
Storie Da Non Perdere
