Les chercheurs de la société de sécurité cryptographique OpenZeppelin ont découvert une vulnérabilité de haute gravité dans le portefeuille Argent Ethereum, qui peut entraîner la perte des fonds stockés dans ce portefeuille.
Dans une Publicación Récemment, la société de recherche et de sécurité OpenZeppelin a révélé avoir trouvé une grave erreur dans la mise en œuvre du portefeuille Argent, qui permet à un pirate informatique d'empêcher l'utilisation des crypto-monnaies stockées dans ces portefeuilles.
OpenZeppelin a signalé que cette erreur donne lieu à une possible attaque de DoS (déni de service) grâce auquel l'accès d'un utilisateur à son portefeuille peut être empêché, gelant indéfiniment les fonds disponibles dans le portefeuille. De même, l'entreprise a souligné qu'une fois que les utilisateurs sont attaqués, il est presque impossible d'arrêter le vecteur d'attaque et de récupérer les fonds, car une fois lancé, l'utilisateur ne dispose que de 36 heures pour tenter de l'arrêter.
De leur côté, les développeurs d'Argent Ethereum ont remercié OpenZeppelin pour leurs efforts pour détecter et corriger la vulnérabilité, signalant que les portefeuilles à risque sont désormais hors de danger.
Dans le même temps, ils ont pris des mesures rapides pour éliminer le risque et protéger les utilisateurs.
Il peut vous intéresser: Alerte : les fonds des utilisateurs de Lighting Network risquent d'être volés
Détails du rapport publié par OpenZeppelin
Selon l’analyse effectuée par la société, environ 329 portefeuilles Argent Ethereum courent un risque sérieux, en plus des 162 unités d’ETH stockées dans ces portefeuilles. De même, OpenZeppelin a souligné que 5.513 XNUMX portefeuilles ont été identifiés sans la fonction « gardien », donc lorsqu'ils seront mis à jour vers la dernière version d'Argent, ils commenceront à être vulnérables à cette attaque. La société de sécurité a également signalé que la majorité de ces portefeuilles sont inactifs et qu'Argent considère qu'ils ne sont plus des utilisateurs de l'entreprise.
«Notre analyse initiale a signalé 329 portefeuilles à risque immédiat sur le réseau principal, avec près de 162 ETH au total, ainsi que des quantités supplémentaires de jetons et de titres DeFi. De plus, nous avons identifié 5513 XNUMX portefeuilles non protégés qui deviendraient vulnérables dès qu'ils seraient mis à jour vers la dernière version des contrats Argent ; bien qu'Argent rapporte que la plupart d'entre eux sont inactifs et ne devraient pas être considérés comme des utilisateurs d'Argent.
Pour corriger la vulnérabilité, Argent a mis à jour le contrat intelligent (contrat intelligent) qui était vulnérable au sein du réseau principal, publiant une version mise à jour du logiciel de portefeuille. De plus, Argent souligne qui a contacté en privé tous les utilisateurs vulnérables à l'attaque pour les informer du processus de correction et de mise à jour du portefeuille. Désormais, les deux sociétés ont indiqué que le problème avait été résolu et qu'aucun utilisateur n'était affecté par la situation. Tous les fonds à risque sont désormais stockés en toute sécurité.
Les gardiens d'Argent, une solution qui protège vos fonds
Argent est un portefeuille mobile qui utilise un protocole de sécurité basé sur Guardians, qui sert de pont permettant aux utilisateurs de récupérer leur portefeuille automatiquement et sans avoir besoin d'une phrase initiale. Les gardiens Argent peuvent être gérés par d'autres utilisateurs de portefeuille, ou même par des portefeuilles externes comme MetaMask ou autre portefeuilles matériel.
Dans la mise en œuvre actuelle des portefeuilles Argent, l'utilisation d'au moins un tuteur est obligatoire, au cas où le portefeuille aurait besoin d'être récupéré. Sans tuteur, il est impossible de récupérer un portefeuille Argent, expliquent ses développeurs.
"Avoir au moins un Guardian est obligatoire pour les nouveaux portefeuilles, mais lorsque nous avons lancé pour la première fois, nous avons donné la possibilité aux gens, tout en précisant clairement qu'un portefeuille sans Guardian ne peut pas être récupéré."
Pour qu'un utilisateur récupère son portefeuille, il lui suffit de contacter son ou ses tuteurs afin qu'ils signent une preuve certifiant que ledit utilisateur est propriétaire du portefeuille qu'il souhaite récupérer. Ainsi, le protocole de sécurité avec les tuteurs fonctionne de manière similaire, au moins dans la forme, aux graines (seed) des portefeuilles déterministes, qui permettent aux utilisateurs de restaurer leur portefeuille en entrant simplement leur phrase de départ et une clé personnelle.
Dans le cas des tuteurs Argent, les preuves signées sont envoyées au portefeuille via une commande, qui permet de vérifier que si la majorité des tuteurs ont signé leur preuve, alors l'utilisateur est le véritable propriétaire et peut commencer à récupérer votre portefeuille et vos fonds. .
Continuer la lecture: Trezor présente une mise à jour qui peut corriger la vulnérabilité détectée dans SegWit
