Поделиться этой статьей
OpenZeppelin раскрывает «уязвимость высокой степени серьезности» в DeFi-кошельке Argent
По словам ведущих хакеров OpenZeppelin, в кошельке Ethereum Argent была обнаружена и исправлена «уязвимость высокой степени серьезности».
Автор William Foxley
Обновлено 14 сент. 2021 г., 8:54 a.m. Опубликовано 19 июн. 2020 г., 3:28 p.m. 2 min readПереведено ИИ
По словам ведущих хакеров OpenZeppelin, в кошельке Ethereum Argent была обнаружена и исправлена «уязвимость высокой степени серьезности».
РаскрытоПятницаИсследователь безопасности OpenZeppelin ALICE Хеншоу обнаружила уязвимость в Argent, которая позволяла сливать средства пользователей с кошельков, не имеющих функции «защитника» Argent.
Согласно OpenZepplinзапись в блоге и пресс-релиз, новость об Истории была впервые передана Argent 12 июня:
«Исследование OpenZeppelin выявило ошибку в последней версии смарт-контрактов Argent, которая позволяет любому человеку запустить процесс восстановления кошелька без подписи — на любом кошельке с нулевыми хранителями — сразу после обновления кошелька».
В случае атаки у пользователей было всего 36 часов, чтобы предотвратить утечку средств из кошелька. Даже тогда пользователи могли заморозить свои средства с помощью атаки типа «отказ в обслуживании» (DoS), пишет OpenZeppelin.
По словам Хеншоу, уязвимость возникла из-за обновления кошелька 30 марта. OpenZeppelin заявила, что под угрозой оказались 329 кошельков с 162 токенами эфира (ETH) и нераскрытыми токенами децентрализованных Финансы (DeFi). Еще 5513 кошельков также были уязвимы после обновления до нового программного обеспечения Argent, говорится в блоге.
По данным фирмы, фонды Argent не пострадали, и был выпущен патч. Хеншоу получил $25 000 в DAI в качестве компенсации.
«Только 61 кошелек без Guardians и с затронутым обновлением был под угрозой», — сказал CoinDesk представитель Argent Мэтью Райт. «Наша модель безопасности подразумевала, что у них было 36 часов, чтобы заблокировать его, просто нажав «Отмена» в приложении. 0 средств не было потеряно. Мы считаем, что это подчеркивает преимущества наличия модели безопасности с открытым исходным кодом, и мы рады наградить OpenZeppelin вознаграждением за их работу».
Арджент признал уязвимость в своем твите в пятницу утром, поблагодарив OpenZeppelin за проделанную работу:
We're grateful to @OpenZeppelin for helping us find & fix an issue affecting 61 legacy wallets with no Guardians.
— Argent (@argentHQ) June 19, 2020
0 users were impacted, 0 funds lost.
Here are the full details: https://t.co/cNbcYExMEY
В марте,Argent собрал 12 миллионов долларов в серии A под руководством Paradigm Ventures. Кошелек изначально интегрируется с популярными продуктами DeFi, такими как Maker и Compound.
«Уязвимость, обнаруженная нашими исследователями безопасности, могла привести к тому, что многие пользователи потеряют контроль над своими средствами при обновлении до последней версии кошелька Argent», — заявил в своем заявлении генеральный директор OpenZeppelin Демиан Бренер. «Команда Argent предприняла QUICK действия для устранения этой проблемы, чтобы никакие средства пользователей не пострадали».
More For You
Эндрю Голт, венчурный капиталист, финансировавший лаборатории квантового оборудования, которые теперь угрожают биткоину, утверждает, что индустрия ищет решения не в том направлении. Собственная команда безопасности Google пошла по тому же пути в марте.
What to know:
- Эксперты по безопасности предупреждают, что самой срочной квантовой угрозой для биткоина и более широкой финансовой системы являются не ключи от кошельков, а зашифрованные данные аутентификации, которые уже передаются между институтами и тихо собираются сегодня.
- Противники применяют стратегию «собирай сейчас, расшифровывай позже», накапливая зашифрованные межбанковские сообщения, платежные записи и цифровые подписи,...
Главное
