您当前的位置: > 数字钱包 >
攻击者可能已经利用Argent钱包中的漏洞窃取用户资金
发布时间:2020-08-16 19:47
攻击者可能已经利用Argent钱包中的漏洞窃取用户资金,Argent钱包中的漏洞将使攻击者能够从没有监护人的用户那里窃取资金。根据OpenZeppelin的研究人员的报告,该漏洞可能使攻击者可以接管Argent钱包,尤其是那些没有激活任何监护功能的钱包。
一、Argent钱包漏洞被利用
保护功能允许用户控制钱包的某些操作,例如恢复和锁定钱包。要在平台上创建帐户,用户需要设置监护人。但是,可以在没有监护人的情况下设置2020年3月30日之前创建的帐户。攻击者利用了Argent代码中的错误,并针对尚未设置监护人的帐户触发了恢复过程。但是,用户可以通过定期监控其钱包并在发行后的36小时内取消恢复请求来保护自己的资金。
这是默认恢复期,现在可以用来保护用户资金。但是,如果用户阻止恢复尝试,则钱包中的错误会使他们容易受到拒绝服务攻击的攻击,这可能会使他们的资金无限期冻结。这可以通过重复请求钱包恢复来完成,从而使帐户保留在恢复期内,并且用户将无法使用资金。
二、如何恢复?
Argent的团队报告说,他们将使用OpenZeppelin的修复程序,该修复程序将阻止攻击者触发钱包恢复。由于没有监护人的钱包数量众多,该公司建议增加一个功能,以确保如果钱包有零个监护人,该请求将不会被返回。Argent透露,它已经在与受影响的用户联系,为他们的钱包设置至少一位监护人。