I ricercatori della società di sicurezza crittografica OpenZeppelin hanno scoperto una vulnerabilità di elevata gravità nel portafoglio Argent Ethereum, che può comportare la perdita dei fondi archiviati in questo portafoglio.
in un pubblicazione Recentemente, la società di ricerca e sicurezza OpenZeppelin ha rivelato di aver riscontrato un grave errore nell'implementazione del portafoglio Argent, che consente a un hacker di impedire l'utilizzo delle criptovalute archiviate in questi portafogli.
OpenZeppelin ha segnalato che questo errore dà luogo ad un possibile attacco di DoS (Denial of Service) attraverso il quale è possibile impedire l'accesso di un utente al proprio portafoglio, congelando i fondi disponibili nel portafoglio a tempo indeterminato. Allo stesso modo, la società ha osservato che una volta che gli utenti sono sotto attacco, è quasi impossibile fermare il vettore dell’attacco e recuperare i fondi, poiché una volta avviato, l’utente ha solo 36 ore per tentare di fermarlo.
Da parte loro, gli sviluppatori di Argent Ethereum hanno ringraziato OpenZeppelin per gli sforzi compiuti per rilevare e correggere la vulnerabilità, riferendo che i portafogli che erano a rischio sono ora fuori pericolo.
Allo stesso tempo, hanno adottato misure rapide per eliminare il rischio e proteggere gli utenti.
Si può essere interessati: Avviso: i fondi degli utenti di Lighting Network potrebbero essere a rischio di furto
I dettagli del rapporto pubblicato da OpenZeppelin
Secondo l'analisi effettuata dalla società, circa 329 portafogli Argent Ethereum sono a grave rischio, oltre a 162 unità di ETH che sono conservate all'interno di questi portafogli. Allo stesso modo, OpenZeppelin ha sottolineato che 5.513 portafogli sono stati identificati senza la funzione “guardiano”, quindi quando verranno aggiornati all’ultima versione di Argent inizieranno a essere vulnerabili a questo attacco. La società di sicurezza ha inoltre riferito che la maggior parte di questi portafogli sono inattivi e che Argent ritiene che non siano più utenti della società.
"La nostra analisi iniziale ha riportato 329 portafogli a rischio immediato sulla rete principale, con quasi 162 ETH in possesso totale, oltre a quantità aggiuntive di token e partecipazioni DeFi. Inoltre, abbiamo identificato 5513 portafogli non custoditi che diventerebbero vulnerabili non appena fossero aggiornati all’ultima versione dei contratti Argent; anche se Argent riferisce che la maggior parte di loro sono inattivi e non dovrebbero essere considerati utenti Argent."
Per risolvere la vulnerabilità, Argent ha aggiornato lo smart contract (smart contract) che era vulnerabile all'interno della rete principale, rilasciando una versione aggiornata del software del portafoglio. Inoltre, Argent sottolinea che ha contattato privatamente tutti gli utenti vulnerabili all'attacco per informarli del processo di correzione e aggiornamento del portafoglio. Ora entrambe le società hanno riferito che il problema è stato risolto e che nessun utente è stato interessato dalla situazione, quindi tutti i fondi a rischio sono ora archiviati in modo sicuro.
I guardiani di Argent, una soluzione che mantiene i tuoi fondi al sicuro
Argent è un portafoglio mobile che utilizza un protocollo di sicurezza basato su Guardians, che funge da ponte affinché gli utenti possano recuperare i propri portafogli automaticamente e senza bisogno di una frase iniziale. I guardiani d'argento possono essere gestiti da altri utenti di portafogli o anche da portafogli esterni come MetaMask o altri wallet hardware.
Nell'attuale implementazione dei portafogli Argent, è obbligatorio l'utilizzo di almeno un tutore, nel caso in cui sia necessario recuperare il portafoglio. Senza un tutore è impossibile recuperare un portafoglio Argent, spiegano i suoi sviluppatori.
"Avere almeno un Guardian è obbligatorio per i nuovi portafogli, ma quando l'abbiamo lanciato per la prima volta abbiamo dato alle persone questa opzione, chiarendo anche che un portafoglio senza Guardian non può essere recuperato."
Affinché un utente possa recuperare il proprio portafoglio, deve solo contattare il proprio tutore o tutori affinché possano firmare una prova che certifichi la proprietà dell'utente del portafoglio che desidera recuperare. Quindi il protocollo di sicurezza con i guardiani funziona in modo simile, almeno nella forma, ai seed (seme) del portafogli deterministici, che consentono agli utenti di ripristinare i propri portafogli semplicemente inserendo la frase seed e una chiave personale.
Nel caso dei guardiani Argent, le prove firmate vengono inviate al wallet tramite un comando, che permette di verificare che se la maggior parte dei guardiani ha firmato la propria prova, allora l'utente è il reale proprietario e può iniziare a recuperare il proprio wallet e i propri fondi. .
Continua a leggere: Trezor presenta un aggiornamento in grado di correggere la vulnerabilità rilevata in SegWit
