OpenZeppelin revela una vulnerabilidad de alta gravedad en la billetera DeFi Argent

Según los principales hackers de sombrero blanco OpenZeppelin, se encontró y se solucionó una “vulnerabilidad de alta gravedad” en la billetera Ethereum Argent.

DivulgadoViernesLa investigadora de seguridad de OpenZeppelin, ALICE Henshaw, descubrió una vulnerabilidad dentro de Argent que habría permitido que los fondos de los usuarios se drenen de billeteras que no tenían la función de "guardián" de Argent.

Según OpenZepplinentrada de blog y comunicado de prensa, la noticia del Explora se compartió por primera vez con Argent el 12 de junio:

La investigación de OpenZeppelin reveló un error en la última versión de los contratos inteligentes de Argent que permitiría a cualquiera activar el proceso de recuperación de la billetera sin firma, en cualquier billetera sin guardianes, tan pronto como se actualice.

En caso de ataque, los usuarios solo tenían 36 horas para evitar el vaciado de sus fondos. Incluso así, podrían congelar sus fondos mediante un ataque de denegación de servicio (DoS), según OpenZeppelin.

Según Henshaw, la vulnerabilidad se originó en una actualización de billetera el 30 de marzo. OpenZeppelin indicó que 329 billeteras con 162 ether (ETH) y tokens de Finanzas descentralizadas (DeFi) no revelados estaban en riesgo. Otras 5513 billeteras también fueron vulnerables tras actualizarse al nuevo software de Argent, según el blog.

Según la firma, ningún fondo de Argent se vio afectado y se ha emitido un parche. Henshaw recibió 25.000 dólares en DAI como compensación.

“Solo 61 billeteras sin Guardianes y con la actualización afectada estaban en riesgo”, declaró Matthew Wright, portavoz de Argent, a CoinDesk. “Nuestro modelo de seguridad les permitió bloquearlo en 36 horas con solo pulsar 'Cancelar' en la aplicación. No se perdieron fondos. Creemos que esto resalta las ventajas de tener un modelo de seguridad de código abierto y nos complace otorgar una recompensa a OpenZeppelin por su trabajo”.

Argent reconoció la vulnerabilidad en un tweet el viernes por la mañana, agradeciendo a OpenZeppelin por su trabajo:

En marzo,Argent recaudó 12 millones de dólares En una Serie A liderada por Paradigm Ventures. La billetera se integra de forma nativa con productos DeFi populares como Maker y Compound.

“La vulnerabilidad descubierta por nuestros investigadores de seguridad podría haber provocado que muchos usuarios perdieran el control de sus fondos al actualizar a la última versión de la billetera Argent”, declaró Demian Brener, director ejecutivo de OpenZeppelin. “El equipo de Argent ha actuado con QUICK para solucionar este problema y evitar que los fondos de los usuarios se vieran afectados”.