В статье в блоге OpenZeppelin пишет, что уязвимость позволяет атакующим получить контроль над кошельком Argent. Особенно это касается тех кошельков, пользователи которых не включили функцию «защитника». Команда разработчиков уже исправила уязвимость и связалась с пользователями, чьи кошельки уязвимы, для обновления программы.
Функция «защитника» позволяет пользователю выбрать сторонние аккаунты, которым позволено выполнять определенные действия с кошельком, например, блокировать его или инициировать восстановление. До 30 марта 2020 года при создании кошелька функция не активировалась по умолчанию. Благодаря ошибке в коде злоумышленники могли атаковать кошельки с отключенной функцией «защитника», запускать процесс восстановления кошелька и получать к нему доступ.
Argent сообщал пользователю о попытке восстановления кошелька. Однако если пользователь пропускал уведомление и не блокировал процесс восстановления в течение 36 часов, то злоумышленники могли получить доступ к средствам. При этом даже когда пользователь блокировал процесс, злоумышленники могли заново инициировать его, таким образом средства на кошельке оставались замороженными. Специалисты OpenZeppelin обнаружили 329 кошельков с уязвимостью к атаке, и еще 5 513 кошельков потенциально уязвимы.
«Команда Argent быстро среагировала на обнаружение уязвимости и исправила ее, так что средства пользователей не были украдены», – отметил генеральный директор OpenZeppelin Демиан Бренер (Demian Brener).
Ранее в этом месяце сообщалось о том, что из-за уязвимости в обновлении протокола Bancor Network пользователи потеряли более $100 000.