Badacze z firmy zajmującej się bezpieczeństwem kryptograficznym OpenZeppelin odkryli lukę w zabezpieczeniach portfela Argent Ethereum o wysokim poziomie ważności, która może skutkować utratą środków przechowywanych w tym portfelu.
W jednym publikacja Niedawno firma badawcza i zajmująca się bezpieczeństwem OpenZeppelin ujawniła, że znalazła poważny błąd we wdrażaniu portfela Argent, który pozwala hakerowi uniemożliwić korzystanie z kryptowalut przechowywanych w tych portfelach.
OpenZeppelin poinformował, że ten błąd powoduje możliwy atak DoS (odmowa usługi), za pomocą której można uniemożliwić użytkownikowi dostęp do jego portfela, zamrażając środki dostępne w portfelu na czas nieokreślony. Podobnie firma zauważyła, że gdy użytkownicy zostaną zaatakowani, prawie niemożliwe jest zatrzymanie wektora ataku i odzyskanie środków, ponieważ po jego rozpoczęciu użytkownik ma tylko 36 godzin na próbę jego powstrzymania.
Ze swojej strony programiści Argent Ethereum podziękowali OpenZeppelin za wysiłki mające na celu wykrycie i naprawienie luki, informując, że zagrożone portfele nie są już zagrożone.
Jednocześnie podjęli szybkie działania mające na celu wyeliminowanie ryzyka i ochronę użytkowników.
Może Cię zainteresować: Uwaga: fundusze użytkowników Lighting Network mogą być narażone na ryzyko kradzieży
Szczegóły raportu wydanego przez OpenZeppelin
Według analizy przeprowadzonej przez firmę, około 329 portfeli Argent Ethereum jest poważnie zagrożonych, oprócz 162 jednostek ETH przechowywanych w tych portfelach. Podobnie OpenZeppelin wskazał, że zidentyfikowano 5.513 portfeli bez funkcji „strażnika”, więc po aktualizacji do najnowszej wersji Argenta zaczną być podatne na ten atak. Firma ochroniarska poinformowała również, że większość tych portfeli jest nieaktywna i Argent uważa, że nie są już użytkownikami firmy.
„Nasza wstępna analiza wykazała, że 329 portfeli w sieci głównej jest bezpośrednio zagrożonych, z łącznymi zasobami prawie 162 ETH oraz dodatkowymi ilościami tokenów i zasobów DeFi. Dodatkowo zidentyfikowaliśmy 5513 niestrzeżonych portfeli, które stały się podatne na ataki po aktualizacji do najnowszej wersji kontraktów Argent; chociaż Argent informuje, że większość z nich jest nieaktywna i nie należy ich uważać za użytkowników Argenta.
Aby naprawić tę lukę, Argent zaktualizował inteligentną umowę (inteligentna umowa), który był podatny na ataki w sieci głównej, wypuszczając zaktualizowaną wersję oprogramowania portfela. Poza tym Argent wskazuje który prywatnie skontaktował się ze wszystkimi użytkownikami, którzy byli podatni na atak, aby poinformować ich o procesie korekty i aktualizacji portfela. Teraz obie firmy poinformowały, że problem został rozwiązany i że sytuacja nie dotyczy żadnego użytkownika, więc wszystkie zagrożone środki są teraz bezpiecznie przechowywane.
Opiekunowie Argenta, rozwiązanie, które zapewni bezpieczeństwo Twoich środków
Argent to portfel mobilny korzystający z protokołu bezpieczeństwa opartego na Guardianach, który służy jako pomost dla użytkowników do automatycznego odzyskiwania swoich portfeli i bez potrzeby początkowej frazy. Opiekunowie Argentu mogą być uruchamiani przez innych użytkowników portfela, a nawet przez portfele zewnętrzne, takie jak MetaMask lub inne portfele sprzęt komputerowy.
W obecnej implementacji portfeli Argent korzystanie z co najmniej jednego opiekuna jest obowiązkowe, na wypadek konieczności odzyskania portfela. Bez opiekuna nie da się odzyskać portfela Argent – wyjaśniają jego twórcy.
„Posiadanie co najmniej jednego Guardiana jest obowiązkowe w przypadku nowych portfeli, ale kiedy wprowadziliśmy tę funkcję po raz pierwszy, daliśmy ludziom taką opcję, jednocześnie wyjaśniając, że portfela bez Guardiana nie można odzyskać”.
Aby użytkownik mógł odzyskać swój portfel, musi jedynie skontaktować się ze swoim opiekunem lub opiekunami w celu podpisania dowodu potwierdzającego własność portfela, który chce odzyskać. Zatem protokół bezpieczeństwa z opiekunami działa w podobny sposób, przynajmniej w formie, do nasion (nasienie) z portfele deterministyczne, które umożliwiają użytkownikom przywrócenie portfeli poprzez proste wprowadzenie frazy początkowej i klucza osobistego.
W przypadku opiekunów Argent podpisane dowody przesyłane są do portfela za pomocą polecenia, co pozwala sprawdzić, czy jeśli większość opiekunów podpisała swój dowód, to użytkownik jest prawdziwym właścicielem i może rozpocząć odzyskiwanie Twojego portfela i środków .
Kontynuuj czytanie: Trezor przedstawia aktualizację, która może naprawić lukę wykrytą w SegWit
