Carteira Argent corrige falha de segurança que resultaria em roubo de fundos
Uma “gravíssima” falha de segurança na Argent, popular carteira para celular da Ethereum, foi descoberta por pesquisadores da OpenZeppelin, empresa de cibersegurança com foco em cripto.
Segundo uma publicação da OpenZeppelin, a falha poderia permitir que invasores obtivessem acesso às carteiras de usuários da Argent, principalmente aqueles que não ativaram os recursos de proteção.
A publicação afirma que a equipe da Argent consertou a falha e entrou em contato com alguns dos usuários afetados, fornecendo detalhes de como manter suas carteiras em segurança.
O recurso de proteção (“guardian”) permite que usuários da Argent forneçam algumas permissões da conta para executarem ações na carteira, como bloqueio ou aprovação para a recuperação de uma carteira.
Antes do dia 30 de março de 2020, usuários conseguiam criar carteiras sem a proteção. Um bug no código da Argent permitia que hackers invadissem carteiras sem proteção e realizassem um processo de recuperação para roubar os fundos.
A única forma de mitigar essa situação é monitorar a carteira e cancelar o pedido de recuperação em até 36 horas dentro do prazo de recuperação — Argent possui um processo de notificação que alerta usuários quando é feita uma tentativa de recuperação, dando-os tempo de interromper a recuperação.
Mesmo se um usuário conseguir bloquear uma falsa tentativa de recuperação, a falha os deixava vulneráveis a um ataque de negação de serviço (DoS) que poderia congelar seus fundos por tempo indeterminado: o invasor poderia, repetidas vezes, fazer um pedido de recuperação, forçando a vítima a continuar dentro do prazo de recuperação e evitar que ela acesse os fundos.
OpenZeppelin identificou 329 carteiras que detêm 162 ETH (cerca de US$ 37 mil) que estavam em risco iminente. Outras 5.513 carteiras também foram identificadas como vulneráveis ao ataque.
“A equipe da Argent se mobilizou para consertar essa falha para que nenhum fundo dos usuários fosse impactado”, afirmou Demian Brener, CEO da OpenZeppelin.
Em março, Argent arrecadou US$ 12 milhões em uma rodada de financiamento liderada pela Paradigm. Mais de 20 mil carteiras de criptoativos foram criadas na plataforma.