Ibinunyag ng OpenZeppelin ang 'High Severity Vulnerability' sa DeFi Wallet Argent

Isang “high severity vulnerability” ang natagpuan at na-patch sa Ethereum wallet Argent, ayon sa nangungunang white-hat hackers na OpenZeppelin.

Ibinunyag Biyernes, natuklasan ng tagapagpananaliksik ng seguridad ng OpenZeppelin ALICE Henshaw ang isang kahinaan sa loob ng Argent na magpapahintulot sa mga pondo ng user na maubos mula sa mga wallet na walang tampok na "tagapag-alaga" ng Argent.

Ayon sa isang OpenZepplin post sa blog at press release, unang ibinahagi sa Argent ang balita ng Discovery noong Hunyo 12:

"Ang pananaliksik ng OpenZeppelin ay nagsiwalat ng isang error sa pinakabagong bersyon ng mga matalinong kontrata ng Argent na magpapahintulot sa sinuman na ma-trigger ang proseso ng pagbawi ng wallet nang walang pirma - sa anumang wallet na walang tagapag-alaga - sa sandaling ma-upgrade ang wallet."

Kung inaatake, ang mga user ay mayroon lamang 36 na oras upang maiwasan ang pag-draining ng mga pondo ng pitaka. Kahit noon pa man, maaaring ma-freeze ng mga user ang kanilang mga pondo sa pamamagitan ng pag-atake ng Denial-of-Service (DoS), isinulat ng OpenZeppelin.

Ayon kay Henshaw, ang kahinaan ay nagmula sa pag-update ng wallet noong Marso 30. Sinabi ng OpenZeppelin na nasa panganib ang 329 na wallet na may 162 ether (ETH) at mga hindi nasabi na decentralized Finance (DeFi). Ang isa pang 5,513 na wallet ay mahina rin, sa sandaling na-update sila sa bagong software ng Argent, ayon sa blog.

Walang mga pondo ng Argent ang naapektuhan at isang patch ang naibigay, ayon sa kompanya. Nakatanggap si Henshaw ng $25,000 sa DAI bilang kabayaran.

"Tanging 61 wallet na walang Guardians at may apektadong update ang nasa panganib," sinabi ng tagapagsalita ng Argent na si Matthew Wright sa CoinDesk. "Nangangahulugan ang aming modelo ng seguridad na mayroon silang 36 na oras upang i-block ito sa pamamagitan lamang ng pag-tap sa 'Kanselahin' sa app. 0 na pondo ang nawala. Sa tingin namin, itinatampok nito ang mga pakinabang ng pagkakaroon ng open-source na modelo ng seguridad at masaya kaming bigyan ng bounty ang OpenZeppelin para sa kanilang trabaho."

Kinilala ni Argent ang kahinaan sa isang tweet noong Biyernes ng umaga, na nagpapasalamat sa OpenZeppelin para sa trabaho nito:

Noong Marso, Nakalikom si Argent ng $12 milyon sa isang Serye A na pinamumunuan ng Paradigm Ventures. Ang wallet ay katutubong sumasama sa mga sikat na produkto ng DeFi gaya ng Maker at Compound.

"Ang kahinaan na natuklasan ng aming mga mananaliksik sa seguridad ay maaaring humantong sa maraming mga gumagamit na mawalan ng kontrol sa kanilang mga pondo habang sila ay nag-upgrade sa pinakabagong bersyon ng Argent wallet," sabi ng CEO ng OpenZeppelin na si Demian Brener sa isang pahayag. "Ang koponan ng Argent ay gumawa ng QUICK na pagkilos upang ayusin ang isyung ito upang walang mga pondo ng user ang naapektuhan."