В кошельке Argent обнаружили очень серьезную уязвимость

[epidemia 17674]

 

Еще в конце 2018 года крипто сообщество было очень удивлено: британский ноунейм-стартап Argent привлек около $4 миллионов инвестиций от знаменитых европейских компаний, включая Index Ventures, Hummingbird, Creandum, firstminute и Atomico Partner Mattias Ljungman. Об этом писали в издании TechCrunch. Мобильное приложение Argent доступно для скачивания в Google Play и App Store (ссылки с официального сайта, но я их НЕ проверял).

 

Представители проекта с первых дней акцентировали внимание пользователей на 4-х основных аспектах кошелька: ПРОЩЕ, БЕЗОПАСНЕЕ, УМНЕЕ, БЕСПЛАТНО. Детальную информацию можно найти на официальном сайте проекта - https://www.argent.xyz/ru/:

 

Но, 19.06.2020 всплыла интересная новость о том, что кошелек на самом деле не совсем безопасный! Специалисты из компании OpenZeppeli, которая работает в сфере кибербезопасности, заявили, что в особенной зоне риска находятся пользователи, которые не захотели активировать функцию "guardian" (страж). Представители проекта Argent заявили, что в данный момент проблема уже устранена. По их словам, они связались с каждым пользователем и предоставили подробную инструкции по восстановлению их полной безопасности. Так ли это?

 

Функция "guardian" позволяет каждому пользователю выбрать любые сторонние аккаунты, которым разрешено выполнять определенные действия с кошельком, например, блокировать его или инициировать восстановление. Так, до 30 марта 2020 года включительно, при создании нового кошелька функция НЕ активировалась автоматически. Благодаря ошибке в коде злоумышленники могли спокойно атаковать кошельки с неактивной функцией "guardian", запускать процесс восстановления кошелька и получать к нему полный доступ.

 

Разработчики заявили, что Argent сообщал каждого пользователя о попытке восстановления кошелька. Но, если человек пропускал уведомление и не блокировал процесс восстановления в течение следующих 36 часов, то мошенники могли получить полный доступ к средствам пользователя. Даже когда заблокировать процесс, то злоумышленники могли заново инициировать его, таким образом средства на кошельке оставались замороженными. Работники OpenZeppelin обнаружили 329 кошельков с уязвимостью к атаке (общий остаток порядка 162 ETH), и еще 5 513 кошельков оставались потенциально уязвимы.

 

Интересно, кто-то с форумчан использует этот кошелек?

 

Edited July 4, 2020 by epidemia

[Dimarrik 10680]

Первый раз слышу даже название, но я как-то не привык юзать кошельки, в основном просто храню на бирже, на край есть метамаск. Кошельков куча, а вот завоевать доверие мне кажется им тяжело, отсюда большинство кошельков известна в узком кругу  - например в какой-то стране. Самое главное что уязвимость нашли и я так понял никто из пользователей не пострадал? Скорее всего эта новость вызовет  теперь отток клиентов теперь.

[epidemia 17674]

31 minutes ago, Dimarrik said:

Первый раз слышу даже название, но я как-то не привык юзать кошельки, в основном просто храню на бирже, на край есть метамаск. Кошельков куча, а вот завоевать доверие мне кажется им тяжело, отсюда большинство кошельков известна в узком кругу  - например в какой-то стране. Самое главное что уязвимость нашли и я так понял никто из пользователей не пострадал? Скорее всего эта новость вызовет  теперь отток клиентов теперь.

Кошельков действительно много, вот только мало кто собирает 4 миллиона баксов (в старт посте писал). Тоже ранее не слышал о кошельке, скорее всего его юзают в "стране-производителе" (Великобритания), но я так понял там он очень знаменит. Допустить такой косяк в коде - это просто феноменально...кто его теперь будет использовать?)

[Romeros 6074]

Про кошелек данный впервые слышу, а вот косяк такой в безопасности. Я думаю у кого были там средства - все они выведены уже из данного кошелька. Да и вот такая новость - это начало прекращения работы кошелька.

[Dimarrik 10680]

55 minutes ago, epidemia said:

Допустить такой косяк в коде - это просто феноменально...кто его теперь будет использовать?)

Ну 4 ляма по идее не вот прям и мега сумма, хотя и немаленькая на первый взгляд - это по сути 400 битков, так уже кажется она меньше. На счет пользоваться тут с одной стороны вроде бы как косяк, а с другой стороны может это показуха - типа вот мы на чеку и если что, решаем проблемы.

[epidemia 17674]

2 minutes ago, Dimarrik said:

Ну 4 ляма по идее не вот прям и мега сумма, хотя и немаленькая на первый взгляд - это по сути 400 битков, так уже кажется она меньше. На счет пользоваться тут с одной стороны вроде бы как косяк, а с другой стороны может это показуха - типа вот мы на чеку и если что, решаем проблемы.

Ну люди же потеряли деньги, верно? Или разрабы все компенсируют?)

4 ляма для кошелька - это отличная сумма...можно держать штат сотрудников, создать мобильные приложения, пустить хорошую рекламу и т.д. Это очень НЕ маленькая сумма! Я думаю это просто ошибка программистов...но это очень серьезно.

[Grand 17332]

Ставил этот кошелёк недавно ради теста и аккаунт там завёл даже, но со мной никто не связывался из разработчиков, хотя я его удалил еще до 19 июня, да и средств там никаких моих не было. Сейчас переустановил ради интереса и галка на защитнике уже стоит по умолчанию и написали, что доступ к кошельку восстановится через 36 часов только.

Кошелёк завязан на взаимодействие с различными дефи-платформами и даже предлагается на сайте Maker DAO..

 

 

Edited June 22, 2020 by Grand

[Typpak 16028]

Не знаю что сказать по этому кошельку, набрать такие большие инвестиции и пропустить что-то в коде - это надо уметь. На большую. силу ложится большая ответственность. Надо смотреть на ситуацией с ним, тогда и поймём, как у них с пользователями. 

[Grand 17332]

Как и обещали, через 36 часов доступ к кошельку был восстановлен полностью. Теперь в приложении доступен также Uniswap 2.0, возможна как продажа, так и инвестирование в пул.

Edited June 26, 2020 by Grand

[Saasdafe 0]

Криптовалютныф кошелек с уязвимостью - это из грани фантастики и очень плохо. Криптовалюты - являются гарантом надежности и удобство и когда оскверняют это звание - это ужас

[mdv 37587]

On 21.06.2020 at 12:30, epidemia said:

Мобильное приложение Argent доступно для скачивания в Google Play и App Store (ссылки с официального сайта, но я их НЕ проверял).

Гм. У вас это... ссылки перепутаны. Та что гуглплей ведет в аппстор, и наоборот ссылка на аппстор ведет в гуглплей. 🙂 А по поводу самого кошелька смысла нет из за бага раздувать целую трагедию. Таких ситуаций, даже с критическими багами можно найти много, начиная с самого биткоинкоре, Электрума, и даже, пардон аппаратников. Важно, чтобы разрабы быстро реагировали, и вовремя латали найденные уязвимости. Сам лично кошельком пользоваться не буду, но не по этой причине.

[epidemia 17674]

6 minutes ago, mdv said:

Гм. У вас это... ссылки перепутаны. Та что гуглплей ведет в аппстор, и наоборот ссылка на аппстор ведет в гуглплей. 🙂 А по поводу самого кошелька смысла нет из за бага раздувать целую трагедию. Таких ситуаций, даже с критическими багами можно найти много, начиная с самого биткоинкоре, Электрума, и даже, пардон аппаратников. Важно, чтобы разрабы быстро реагировали, и вовремя латали найденные уязвимости. Сам лично кошельком пользоваться не буду, но не по этой причине.

Спасибо, исправил🙏

Это конечно не трагедия, такое бывает. Написал эту новость по двух причинах: 1. Информации об этом кошельке не было на форуме; 2. Разработчики допустили небольшой косяк; Интересно было посмотреть на реакцию форумчан + посмотреть использует ли кто данный кошелек) Ничего сверх страшного. Имхо.

[AlexMiller144 957]

Многие кошельки страдают от слабой защиты. В таких случаях либо повышают безопасность и добавляют различного рода аутентификаторы, либо кошельком просто перестают пользоваться. В случае с argent они могут функцию "guardian" сделать обязательной при регистрации.

[Grand 17332]

Если вы когда-нибудь пользовались обменом в Uniswap через приложение Argent, то вы имеете право на получение своих UNI, для получения токенов надо зайти на адрес https://app.uniswap.org/#/uni и подключиться к протоколу через WalletConnect, отсканировав QR-код своим приложением Argent. Сильно сомневаюсь, что на этом форуме имеются такие люди, кто пользовался, но может кому и пригодиться такая информация.
 

[sn7540872 9665]

On 29.06.2020 at 21:51, Saasdafe said:

Криптовалютныф кошелек с уязвимостью - это из грани фантастики и очень плохо. Криптовалюты - являются гарантом надежности и удобство и когда оскверняют это звание - это ужас

Вы просто заклеймили и уничтожили его эпическим позором,вы наверное знакомы с таким кошельком ,я нет,но по любому такого не должно быть ,ведь кошелёк должен быть безопасным от и до.

[Zinnan 64]

Спасибо за инфу автору,уже читал заголовок какой-то статьи,но не стал читать. Сейчас же прочитал и понял,что не стоит использовать кошелек от Argent,спасибо)

[strukk 18]

Спасибо з предупреждение, не буду больше использовать. Криптовалюта серьёзная штука и таким кошелькам не место здесь.

[Gromm36 30]

За этот кошелёк ни разу не чего не слышал даже форуме не встречал информации.Но мне кажется что они быстро решат проблему с уязвимостью .Только вот репутация кошелька упадёт и востановить будет весьма сложно с таким количеством конкурентов

[fypmgr1nder 21]

Прочитал описание проблемы - я фиг знает, но если пользователь не использует все варианты защиты, при этом втыкает предупреждение, не чекая почту/телефон итд на предмет уведомлений, когда вопрос касается его денег... Не ну уязвимость да, была. Но чтобы это прям было критически - я бы не сказал. Угнать его поможет только крайне неудачное и маловероятное стечение обстоятельств.

[Rofts 166]

Спасибо, что поделились информацией. Я хоть и впервые вижу этот кошелек, но все-таки буду осторожен, ведь защита - главное в таких делах.

[ChokolateEye 5]

Спасибо за инфу, только что проверял этот кошелек, но хотя сказать  по правде я бы вряд ли им и так воспользовался, но за инфу все равно спасибо 🙂 

[stiv1keep 25]

слышал про него на стартапе, очень интересный кошель, 4 ляма не каждый ноунейм собирает. Несколько месяцев назад слышал про еще одну уязвимость, и тоже в плане безопасности, видно не все так гладко с ним.

[Zefyr 300]

Не понимаю, зачем хранить средства в таких новых кошельках, которые еще не обрели известность и какую-либо репутацию, почему бы не хранить средства просто на бирже или на проверенных временем электронных кошельках, такие случаи с уязвимостью в кошельках ведь уже не в новинку.

[Opau233 65]

Спасибо за информацию 

Если честно то первый раз слышу об этом кошельке, но если в будущем буду пользоваться этим кошельком то теперь буду знать о том что у него находили такую уязвимость, всем добра 

[ASDF228 28]

никогда не слышал ранее про этот кошелек,нашли уязвимость,это говорит о том,что это не надежный сервис