Compartilhe este artigo
OpenZeppelin divulga 'vulnerabilidade de alta gravidade' na carteira DeFi Argent
Uma “vulnerabilidade de alta gravidade” foi encontrada e corrigida na carteira Ethereum Argent, de acordo com os principais hackers white-hat OpenZeppelin.
Por William Foxley
Torne-nos preferidos no GoogleUma “vulnerabilidade de alta gravidade” foi encontrada e corrigida na carteira Ethereum Argent, de acordo com os principais hackers white-hat OpenZeppelin.
A História Continua abaixo
DivulgadoSexta-feiraA pesquisadora de segurança do OpenZeppelin, ALICE Henshaw, descobriu uma vulnerabilidade no Argent que permitiria que fundos de usuários fossem drenados de carteiras que não tinham o recurso “guardião” do Argent.
De acordo com um OpenZepplinpostagem de blog e comunicado à imprensa, a notícia da Confira foi compartilhada pela primeira vez com a Argent em 12 de junho:
“A pesquisa da OpenZeppelin revelou um erro na versão mais recente dos contratos inteligentes da Argent que permitiria a qualquer um acionar o processo de recuperação da carteira sem uma assinatura – em qualquer carteira com zero guardiões – assim que a carteira fosse atualizada.”
Se atacados, os usuários tinham apenas 36 horas para evitar a drenagem dos fundos da carteira. Mesmo assim, os usuários poderiam ter seus fundos congelados por meio de um ataque de Negação de Serviço (DoS), escreveu o OpenZeppelin.
De acordo com Henshaw, a vulnerabilidade surgiu de uma atualização de carteira em 30 de março. A OpenZeppelin disse que 329 carteiras com 162 ether e tokens de Finanças descentralizadas (DeFi) não divulgados estavam em risco. Outras 5.513 carteiras também estavam vulneráveis, uma vez que foram atualizadas para o novo software Argent, afirma o blog.
Nenhum fundo Argent foi afetado e um patch foi emitido, de acordo com a empresa. Henshaw recebeu $25.000 em DAI como compensação.
“Apenas 61 carteiras sem Guardians e com a atualização afetada estavam em risco”, disse o porta-voz da Argent, Matthew Wright, à CoinDesk. “Nosso modelo de segurança significava que eles tinham 36 horas para bloqueá-lo simplesmente tocando em 'Cancelar' no aplicativo. 0 fundos foram perdidos. Achamos que isso destaca os benefícios de ter um modelo de segurança de código aberto e estamos felizes em conceder à OpenZeppelin uma recompensa por seu trabalho.”
Argent reconheceu a vulnerabilidade em um tweet na manhã de sexta-feira, agradecendo ao OpenZeppelin por seu trabalho:
We're grateful to @OpenZeppelin for helping us find & fix an issue affecting 61 legacy wallets with no Guardians.
— Argent (@argentHQ) June 19, 2020
0 users were impacted, 0 funds lost.
Here are the full details: https://t.co/cNbcYExMEY
Em março,Argent arrecadou US$ 12 milhões em uma Série A liderada pela Paradigm Ventures. A carteira integra-se nativamente com produtos DeFi populares, como Maker e Compound.
“A vulnerabilidade descoberta por nossos pesquisadores de segurança pode ter levado muitos usuários a perderem o controle de seus fundos ao atualizarem para a versão mais recente da carteira Argent”, disse o CEO da OpenZeppelin, Demian Brener, em uma declaração. “A equipe da Argent tomou medidas QUICK para corrigir esse problema para que nenhum fundo de usuário fosse impactado.”
