W popularnym portfelu Argent na urządzenia mobilne, odkryto lukę, którą można wykorzystać do kradzieży zasobów użytkowników. Poinformowała o tym firma od cyberbezpieczeństwa OpenZeppelin.
Według analityków użytkownicy, którzy nie aktywowali funkcji „opiekun” (angielski – opiekun) byli narażeni na ryzyko. Problem został już rozwiązany przez programistów. Skontaktowali się z użytkownikami wrażliwych portfeli i podali instrukcje przywracania bezpieczeństwa.
Funkcja „strażnika” pozwala ustawić uprawnienia do wykonywania określonych działań w portfelu, na przykład w celu zablokowania go lub wznowienia dostępu. Do 30 marca użytkownicy mogą tworzyć portfele bez domyślnej aktywacji tej funkcji. Luka w zabezpieczeniach kodu umożliwiła potencjalnym atakującym przywrócenie dostępu do takich portfeli, a następnie wypłacenie z nich dostępnych kryptowalut.
Aby uniknąć utraty zasobów, użytkownik musiał stale monitorować żądania odzyskiwania i anulować je w ciągu 36 godzin od wysłania. Jednak nawet w tym przypadku mógł zostać poddany atakowi DoS, który prowadziłby do zablokowania jego funduszy, ponieważ ich wycofanie w bieżącym okresie odzyskiwania jest niemożliwe.
OpenZeppelin odkrył 329 portfeli o łącznej wartości 162 ETH, które były podatne na ten atak. Analitycy podejrzewali również luki w zabezpieczeniach dotyczące 5 513 portfeli.
Comments (No)