Recientemente, se reveló una "vulnerabilidad de alto riesgo" en la popular cartera argent de Ethereum. El descubrimiento fue realizado por la empresa de ciberseguridad OpenZeppelin y publicado en su blog.
“Nuestro análisis inicial informó 329 carteras en riesgo inmediato en la red principal, con casi 162 ETH en tenencias totales, además de cantidades adicionales de tokens y tenencias en DeFi. Además, identificamos 5513 carteras sin protección que se volverían vulnerables tan pronto como se actualizaran a la última versión de los contratos de Argent, aunque Argent informa que la mayoría de ellos están inactivos y no deben considerarse como un usuario de Argent ".
Según la publicación, los usuarios que no estarían usando la configuración de "tutor" estarían expuestos al robo de billeteras. Esta herramienta permite que las cuentas (de propiedad externa o contratos) tomen medidas específicas, como aprobar la recuperación de carteras.
“Además, los contratos no imponen restricciones sobre el número de tutores que puede tener una cartera, lo que permite carteras sin tutores. Los usuarios pueden decidir revocar el tutor predeterminado agregado por Argent, agregar un tutor controlado por el usuario (como una billetera de hardware) o agregar la billetera Argent de una parte de confianza como guardián ".
Hasta el 30 de marzo, los nuevos usuarios no necesitaban crear una cuenta con Guardian habilitado por defecto. Un error de billetera permitió a terceros explotar vulnerabilidades para recuperar la billetera y evitar las criptas.
"Uno de los diversos poderes otorgados a los guardianes es la capacidad de desencadenar la recuperación de una cartera – un proceso que, cuando se ejecuta con éxito, define una nueva cuenta como el propietario de la billetera. La recuperación de la cartera es un proceso de dos pasos: primero, se espera que sea activado por un tutor y, después de una ventana de 36 horas, se puede finalizar de manera efectiva ".
Los ataques que no tuvieron éxito solo repetirían este proceso varias veces. Esto congelaría efectivamente la cuenta en el Período de recuperación de DoS de 36 horas, evitando que el propietario original la use.
Es decir, incluso si un usuario cancelara el proceso, solo perderían el acceso a su billetera. Además, OpenZeppelin dijo:
“El equipo Argent llegó a las mismas conclusiones y dijo que implementaría nuestra corrección sugerida. Aconsejamos a Argent que la corrección debería ser revisada por los auditores de seguridad de confianza de Argent. Mientras tanto, Argent informó que ya estaba contactando a los usuarios afectados, animándolos a agregar al menos un tutor a sus billeteras lo antes posible. Finalmente, Argent implementó la versión reparada del contrato RecoveryManager en la red principal ".
"Argent tomó medidas rápidas para corregir este problema, para que el dinero de los usuarios no se vea afectado", dijo Demian Brener, CEO de OpenZeppelin.
Uber está mejorando sus implementaciones de IoT en todo el mundo mediante la adopción de…
Obras de motor de materia y Bharti Airtel, un proveedor de servicios de telecomunicaciones ha…
En The Legend of Zelda: Breath of the Wild, los guardianes son una forma primitiva…
Muchos de nosotros nos enamoramos absolutamente de Wall-E, el personaje principal de una…
Dhruv Bhutani / Android AuthorityCada año, los fanáticos de los teléfonos inteligentes esperan con ansias…
Apple ha anunciado que Final Cut Pro finalmente llegará para el iPad. Tras años de…