Pesquisadores da empresa de segurança criptográfica OpenZeppelin descobriram uma vulnerabilidade de alta gravidade na carteira Argent Ethereum, que pode resultar na perda de fundos armazenados nesta carteira.
Em uma publicación Recentemente, a empresa de pesquisa e segurança OpenZeppelin revelou que encontrou um erro grave na implementação da carteira Argent, que permite a um hacker impedir o uso das criptomoedas armazenadas nessas carteiras.
OpenZeppelin relatou que este erro dá origem a um possível ataque de DoS (negação de serviço) através do qual o acesso do usuário à sua carteira pode ser impedido, congelando os fundos disponíveis na carteira por tempo indeterminado. Da mesma forma, a empresa observou que uma vez que os usuários estejam sob ataque, é quase impossível interromper o vetor de ataque e recuperar os fundos, pois uma vez iniciado, o usuário tem apenas 36 horas para tentar interrompê-lo.
Por sua vez, os desenvolvedores do Argent Ethereum agradeceram ao OpenZeppelin pelos seus esforços para detectar e corrigir a vulnerabilidade, informando que as carteiras que estavam em risco estão agora fora de perigo.
Ao mesmo tempo, tomaram medidas rápidas para eliminar o risco e proteger os usuários.
Você pode estar interessado: Alerta: os fundos dos usuários da Lighting Network podem estar em risco de roubo
Detalhes do relatório emitido pela OpenZeppelin
De acordo com a análise realizada pela empresa, cerca de 329 carteiras Argent Ethereum estão em grave risco, além de 162 unidades de ETH que estão armazenadas nessas carteiras. Da mesma forma, OpenZeppelin apontou que foram identificadas 5.513 carteiras sem a função “guardião”, portanto, quando forem atualizadas para a versão mais recente do Argent, começarão a ficar vulneráveis a este ataque. A empresa de segurança informou ainda que a maioria dessas carteiras estão inativas e que a Argent considera que não são mais usuários da empresa.
“Nossa análise inicial relatou 329 carteiras em risco imediato na rede principal, com quase 162 ETH em participações totais, além de quantidades adicionais de tokens e participações DeFi. Além disso, identificamos 5513 carteiras desprotegidas que se tornariam vulneráveis assim que fossem atualizadas para a versão mais recente dos contratos Argent; embora a Argent relate que a maioria deles estão inativos e não devem ser considerados usuários da Argent.”
Para corrigir a vulnerabilidade, a Argent atualizou o contrato inteligente (smart contract) que estava vulnerável na rede principal, lançando uma versão atualizada do software da carteira. Além disso, Argent aponta que contatou de forma privada todos os usuários vulneráveis ao ataque para informá-los sobre o processo de correção e atualização da carteira. Agora ambas as empresas relataram que o problema foi resolvido e que nenhum usuário foi afetado pela situação, portanto todos os fundos em risco estão agora armazenados com segurança.
Argent Guardians, uma solução que mantém seus fundos seguros
Argent é uma carteira móvel que utiliza um protocolo de segurança baseado em Guardians, que serve de ponte para os usuários recuperarem suas carteiras de forma automática e sem a necessidade de frase inicial. Os guardiões Argent podem ser administrados por outros usuários de carteiras, ou mesmo por carteiras externas como MetaMask ou outros carteiras Hardwares.
Na atual implementação das carteiras Argent, é obrigatória a utilização de pelo menos um tutor, caso a carteira necessite ser recuperada. Sem um guardião é impossível recuperar uma carteira Argent, explicam seus desenvolvedores.
“Ter pelo menos um Guardian é obrigatório para novas carteiras, mas quando lançamos pela primeira vez demos a opção às pessoas, ao mesmo tempo que deixamos claro que uma carteira sem um Guardian não pode ser recuperada.”
Para que um utilizador possa recuperar a sua carteira, basta contactar o seu tutor ou tutores para que assinem um comprovativo que ateste a propriedade do referido utilizador sobre a carteira que pretende recuperar. Portanto o protocolo de segurança com os guardiões funciona de forma semelhante, pelo menos na forma, às sementes (semente) das carteiras determinísticas, que permite aos usuários restaurar suas carteiras simplesmente inserindo sua frase inicial e uma chave pessoal.
No caso dos tutores Argent, os comprovantes assinados são enviados para a carteira através de um comando, o que permite verificar se a maioria dos tutores assinou o comprovante, então o usuário é o verdadeiro dono e pode começar a recuperar sua carteira e seus fundos .
Continue lendo: Trezor apresenta atualização que pode corrigir vulnerabilidade detectada no SegWit
