على التشفير
اكتشف فريق من مصممي المنتجات لشركة ZenGo، وهي شركة محافظ غير ائتمانية، ثغرة يمكن أن تستنزف أموال المستخدم من أي محفظة تطبيقات لامركزية تقريبًا. هذا الخطأ الأمني معروف منذ عامين. يدق Ouriel Ohayon، الرئيس التنفيذي لشركة ZenGo، ناقوس الخطر الآن مدعيًا أن ذلك يمثل خطرًا على المستخدمين الذين لا يواجهونه بشكل مباشر.
كيف يعمل الخطأ
المشكلة الأمنية، التي تسمى BaDApprove، ليست خطأ برمجيًا ولكنها مشكلة تتعلق بكيفية تحديد المستخدمين لأذونات المعاملة في الإعدادات الافتراضية. اكتشف أوهايون أنه عندما يوافق المستخدمون على معاملة معينة، فإنهم يوافقون أيضًا على جميع المعاملات المستقبلية بشكل افتراضي.
وهذا يفتح الباب أمام تطبيقات البرمجيات الخبيثة اللامركزية للتفاعل مع أموال المستخدمين دون علمهم.
لماذا لم يتم إصلاح هذا من قبل
ما أبرزه Ohayon وZenGo كان مشكلة معروفة في مجتمع DeFi لسنوات. والسؤال إذن هو لماذا لم يتم إصلاحه عاجلا. بالنسبة للبعض في الصناعة، الجواب هو أن هذا ليس عيبًا أو خطأ بقدر ما هو ميزة سيئة.
في سبتمبر 2018، صنف جوردان راندولف، ممثل Ethex، وهي بورصة لامركزية، المشكلة على أنها متوسطة الخطورة. وكتب أن الأذونات لمرة واحدة لنقل "كمية لا حصر لها تقريبًا من الرموز المميزة... يمكن أن تكون فعالة من حيث التكلفة".
"ومع ذلك، فإن وجود عدد لا حصر له تقريبًا من الرموز المميزة المعتمدة يعني أنه يمكن نقل جميع الرموز [الخاصة بك] بعقد ذكي واحد." وقال إن الإعدادات المسبقة للمحفظة تتلخص في الاختيار بين الراحة والأمان.
قال بن هي، الرئيس التنفيذي لشركة imToken، "هذا ليس خطأً في الأمان، إنه اتفاقية سيئة لنظام Ethereum البيئي بأكمله حيث تتطلب معظم تطبيقات Dapps/DeFi موافقات غير محدودة من المستخدمين."
قدم Metamask إجابة مماثلة بخصوص الأذونات غير المحدودة. "إنها في الواقع ميزة آمنة يستخدمها المستخدمون بشكل مسؤول بانتظام. إنه ليس نوعًا من الأخطاء أو المشاكل."
كان كل من ImToken وMetaMask استباقيين في إضافة وسائل حماية، مثل الرسائل المنبثقة التي تطلب التأكيد عند إرسال الأموال والسماح للمستخدمين بتغيير المبلغ المعتمد في الإعدادات المتقدمة. واستشهد أوهايون أيضًا بـ Brave وCoinbase لتحذيراتهما التكميلية لتحذيرات Dapps.
من الضروري تكييف Dapps مع DeFi السائد
"بعض التنازلات الأمنية التي ربما كانت مقبولة في عصر كان فيه عدد المستخدمين قليلًا وذوي مهارات فنية لم تعد مقبولة مع انتشار DeFi، واكتساب العديد من المستخدمين الفقراء تقنيًا وإدارة رموز العملات المشفرة بقيمة مليارات الدولارات (USD)" Alex Manuskin، ZenGo كتب الباحث في منشور.
إنه يعتقد أنه إذا كان من الممكن بالفعل تداول العملة المشفرة على منصات مثل بيتكوين برو عندما يصبح الأمر سائدا، سيلزم وضع ضمانات كافية حتى لا يتم استغلال المستخدمين الجدد. وقد أثيرت مشكلة مماثلة قبل أسبوعين بعد ظهور العملات المشفرة، عندما ظهرت مسألة قواطع دوائر التداول.
بالنسبة للكثيرين، تتعارض هذه الاحتياطات مع روح العملات المشفرة المتمثلة في اللامركزية والاستقلالية الشخصية.
