Recientemente, se reveló una "vulnerabilidad de alto riesgo" en la popular cartera argent de Ethereum. El descubrimiento fue realizado por la empresa de ciberseguridad OpenZeppelin y publicado en su blog.
“Nuestro análisis inicial informó 329 carteras en riesgo inmediato en la red principal, con casi 162 ETH en tenencias totales, además de cantidades adicionales de tokens y tenencias en DeFi. Además, identificamos 5513 carteras sin protección que se volverían vulnerables tan pronto como se actualizaran a la última versión de los contratos de Argent, aunque Argent informa que la mayoría de ellos están inactivos y no deben considerarse como un usuario de Argent ".
Según la publicación, los usuarios que no estarían usando la configuración de "tutor" estarían expuestos al robo de billeteras. Esta herramienta permite que las cuentas (de propiedad externa o contratos) tomen medidas específicas, como aprobar la recuperación de carteras.
“Además, los contratos no imponen restricciones sobre el número de tutores que puede tener una cartera, lo que permite carteras sin tutores. Los usuarios pueden decidir revocar el tutor predeterminado agregado por Argent, agregar un tutor controlado por el usuario (como una billetera de hardware) o agregar la billetera Argent de una parte de confianza como guardián ".
Hasta el 30 de marzo, los nuevos usuarios no necesitaban crear una cuenta con Guardian habilitado por defecto. Un error de billetera permitió a terceros explotar vulnerabilidades para recuperar la billetera y evitar las criptas.
"Uno de los diversos poderes otorgados a los guardianes es la capacidad de desencadenar la recuperación de una cartera – un proceso que, cuando se ejecuta con éxito, define una nueva cuenta como el propietario de la billetera. La recuperación de la cartera es un proceso de dos pasos: primero, se espera que sea activado por un tutor y, después de una ventana de 36 horas, se puede finalizar de manera efectiva ".
Los ataques que no tuvieron éxito solo repetirían este proceso varias veces. Esto congelaría efectivamente la cuenta en el Período de recuperación de DoS de 36 horas, evitando que el propietario original la use.
Es decir, incluso si un usuario cancelara el proceso, solo perderían el acceso a su billetera. Además, OpenZeppelin dijo:
“El equipo Argent llegó a las mismas conclusiones y dijo que implementaría nuestra corrección sugerida. Aconsejamos a Argent que la corrección debería ser revisada por los auditores de seguridad de confianza de Argent. Mientras tanto, Argent informó que ya estaba contactando a los usuarios afectados, animándolos a agregar al menos un tutor a sus billeteras lo antes posible. Finalmente, Argent implementó la versión reparada del contrato RecoveryManager en la red principal ".
"Argent tomó medidas rápidas para corregir este problema, para que el dinero de los usuarios no se vea afectado", dijo Demian Brener, CEO de OpenZeppelin.
Los días felices de la PDA y Blackberry han quedado definitivamente atrás, pero el factor…
Tutorial sobre cómo pronosticar usando un modelo autorregresivo en PythonFoto de Aron Visuals en UnsplashForecasting…
Si tienes un iPhone, los AirPods Pro son la opción obvia para escuchar música, ¡aunque…
Ilustración de Alex Castro / The Verge Plus nuevos rumores sobre el quinto Galaxy Fold.…
Se rumorea que los auriculares premium de próxima generación de Apple, los AirPods Max 2,…
El desarrollador Motive Studio y el editor EA han lanzado un nuevo tráiler de la…