OpenZeppelin 的安全研究员 Alice Henshaw 在周五披露:发现了 Argent 钱包内部的一个严重漏洞,该漏洞可能使用户的资金,在没有Argent“监护人”的情况下流失。
时间表
6月12日:Alice Henshaw 他们向Argent小组披露了此漏洞,该小组确认收到通知。
6月13日:Argent报告说,他们开始私下联系受影响的用户。
6月19日:Argent修复并更新了主网中易受攻击的智能合约,并发布了新版本的移动应用程序。两个团队都公开披露了该问题。
根据OpenZepplin 博客文章和新闻发布,6月12日Argent就收到了通知:
“ OpenZeppelin的研究发现,最新版本的Argent智能合约中存在一个错误,该错误允许任何人在升级后,在没有监护人的情况下,在没有签名的情况下,立即触发任何人无需签名的钱包恢复过程。”
影响
6如果遭到攻击,用户只有36个小时可以防止钱包资金流失。OpenZeppelin写道,不过,用户也可以通过拒绝服务(DoS)攻击冻结其资金。
根据Henshaw的说法,该漏洞源于3月30日的钱包更新。OpenZeppelin表示,持有 162个ETH和未公开的去中心化金融(DeFi)代币的329个钱包面临该风险。博文说,一旦更新到新的Argent软件,另外5513个没有监护人的钱包,也容易受到攻击。
Argent 表示,目前没有任何资金受到影响,并且已经发布了补丁。而 Alice Henshaw 获得了价值$ 25,000 DAI 的奖励(白帽黑客们,看过来,区块链世界机会多多!)。
Argent发言人Matthew Wright告诉CoinDesk:
“我们的安全模型让他们(用户)有36个小时可以通过在应用程序中轻按“取消”来阻止它。目前,0笔资金丢失。我们认为,这凸显了使用开源安全模型的好处,我们很高兴为OpenZeppelin的出色工作提供奖励。”
Argent在星期五早上的一条推文中承认了此漏洞,感谢OpenZeppelin的工作。
今年3月,Argent在由Paradigm Ventures领导的A轮融资中筹集了1200万美元。该钱包与流行的DeFi产品(例如Maker和Compound)完成集成。
OpenZeppelin首席执行官Demian Brener在一份声明中说:
“我们的安全研究人员发现的漏洞可能导致许多用户在升级到最新版本的Argent钱包时失去对资金的控制权。Argent团队已采取行动快速解决了此问题,因此不会影响用户资金。”
竹三七:赚钱的路千万条,资金安全第一条,大家在投资 Defi 代币时,务必小心,钱包的提醒一定要开,确保及时收到消息,及时更新。
原文链接:https://www.coindesk.com/openzeppelin-discloses-high-severity-vulnerability-in-defi-wallet-argent
系列课程1《爱莉莎科普区块链》75课 !点击!
系列课程2《一起开发 EOS DAPP系列》 点击!
系列课程3《区块链工具百宝箱》 点击!
微信公众号:竹三七
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!