Los investigadores de la compañía de seguridad criptográfica OpenZeppelin descubrieron una vulnerabilidad de alta gravedad en la wallet Argent Ethereum, que puede ocasionar la pérdida de los fondos almacenados dentro de este monedero.
En una publicación reciente, la compañía de investigación y seguridad OpenZeppelin reveló que había encontrado un grave error en la implementación de la wallet Argent, que permite que un hacker pueda impedir el uso de las criptomonedas almacenadas dentro de estos monederos.
OpenZeppelin reportó que dicho error da lugar a un posible ataque de DoS (por denegación de servicio) a través del cual se puede evitar el acceso de un usuario a su wallet, congelando los fondos disponibles en el monedero de forma indefinida. Así mismo, la compañía señaló que una vez los usuarios estén bajo ataque, es casi imposible detener el vector de ataque y recuperar los fondos, pues una vez que se inicia, el usuario sólo dispone de 36 horas para intentar detenerlo.
Por su parte, los desarrolladores de Argent Ethereum agradecieron los esfuerzos de OpenZeppelin para detectar y corregir la vulnerabilidad, informando que las wallets que se encontraban en riesgo ya están fuera de peligro.
Al mismo tiempo tomaron acciones rápidas para eliminar el riesgo y proteger a los usuarios.
Te puede interesar: Alerta: Fondos de los usuarios de Lighting Network pueden estar en peligro de robo
Detalles del informe emitido por OpenZeppelin
Según el análisis realizado por la compañía, alrededor de 329 wallets Argent Ethereum están en grave riesgo, además de 162 unidades de ETH que se encuentran almacenados dentro de estos monederos. Así mismo, OpenZeppelin señaló que 5.513 wallets se identificaron sin la función de “guardián”, por lo que al ser actualizadas a la última versión de Argent comenzarán a ser vulnerables a este ataque. La compañía de seguridad también informó que la mayoría de estas wallets se encuentran inactivas y que Argent considerada que ya no son usuarios de la compañía.
“Nuestro análisis inicial reportó 329 billeteras en riesgo inmediato en mainnet, con casi 162 ETH en tenencias totales, más cantidades adicionales de tokens y tenencias de DeFi. Además, identificamos 5513 billeteras sin guardianes que se volverían vulnerables tan pronto como se actualizaran a la última versión de los contratos de Argent; aunque Argent informa que la mayoría de ellas están inactivas y no deben considerarse usuarios de Argent”.
Para corregir la vulnerabilidad, Argent actualizó el contrato inteligente (smart contract) que estaba vulnerable dentro de la red principal, lanzando una versión actualizada del software de la wallet. Además, Argent señala que contactó de forma privada a todos los usuarios que estaban vulnerables al ataque para informarles del proceso de corrección y actualización del monedero. Ahora ambas compañías informaron que el problema fue resuelto y que ningún usuario estuvo afectado por la situación, por lo que todos los fondos en riego ahora están almacenados de forma segura.
Los guardianes de Argent, una solución que mantiene tus fondos seguros
Argent es una wallet móvil que utiliza un protocolo de seguridad basado en Guardianes, que tienen la función de servir de puente a los usuarios para recuperar sus monederos de forma automatizada y sin necesidad de una frase inicial. Los guardianes de Argent pueden ser ejecutados por otros usuarios del monedero, o incluso por wallets externas como MetaMask u otras wallets hardware.
En la implementación actual de las wallets Argent es obligatorio el uso de al menos un guardián, para el caso en el que se necesite recuperar el monedero. Sin un guardián es imposible poder recuperar una wallet Argent, explican sus desarrolladores.
“Tener al menos un Guardián es obligatorio para las nuevas billeteras, pero cuando lanzamos por primera vez le dimos a las personas la opción, al tiempo que dejamos en claro que una billetera sin un Guardián no se puede recuperar”.
Para que un usuario pueda recuperar su wallet solo debe comunicarse con su guardián o guardianes para que estos firmen una prueba que certifique la propiedad de dicho usuario sobre el monedero que quiere recuperar. Por lo que el protocolo de seguridad con guardianes funciona de forma similar, al menos en forma, a las semillas (seed) de las wallets deterministas, que permiten a los usuarios restaurar sus monederos con solo introducir su frase semilla y una clave personal.
En el caso de los guardianes de Argent, las pruebas firmadas son enviadas a la wallet a través de un comando, que permite comprobar que si la mayoría de los guardianes han firmado su prueba, entonces el usuario es el propietario real y puede comenzar a recuperar su monedero y sus fondos.
Continúa leyendo: Trezor presenta una actualización que puede corregir la vulnerabilidad detectada en SegWit