Fundet alvorlig fejl i DeFi Dapp-tegnebøger

Et team af produktdesignere for ZenGo, et ikke-kredit tegnebogsfirma, opdagede en fejl, der kunne dræne brugermidler fra næsten enhver dapp-pung. Denne sikkerhedsfejl har været kendt i to år. Ouriel Ohayon, administrerende direktør for ZenGo, slår nu alarm og hævder, at det udgør en risiko for brugere, der ikke står over for det direkte.

Hvordan fejlen virker

Sikkerhedsproblemet, kaldet BaDApprove, er ikke en kodefejl, men et problem i, hvordan brugere vælger transaktionstilladelser i standardindstillingerne. Ohayon opdagede, at når brugere godkender en specifik transaktion, godkender de også alle fremtidige transaktioner som standard.

Dette åbner døren for, at decentraliserede malware-applikationer kan interagere med brugernes midler uden deres viden.

Hvorfor er dette ikke blevet rettet før

Det, Ohayon og ZenGo fremhævede, har været et kendt problem i DeFi-fællesskabet i årevis. Spørgsmålet er så, hvorfor det ikke er blevet rettet før. For nogle i branchen er svaret, at det ikke er så meget en fejl eller fejl som en dårlig funktion.

I september 2018 kategoriserede Jordan Randolph, en repræsentant for Ethex, en decentraliseret børs, problemet som middel sværhedsgrad. Engangstilladelser til at flytte "en næsten uendelig mængde tokens ... kan være omkostningseffektive," skrev han.

"Men at have et næsten uendeligt antal godkendte tokens betyder, at alle [dine] tokens kan overføres med én smart kontrakt." Tegnebogens forudindstilling koger derfor ned til et valg mellem bekvemmelighed og sikkerhed, sagde han.

Ben He, administrerende direktør for imToken, sagde: "Det er ikke en fejl i sikkerheden, det er en dårlig konvention for hele Ethereum-økosystemet, at de fleste Dapps/DeFi-apps kræver ubegrænsede godkendelser fra brugere."

Metamask indgav et lignende svar vedrørende ubegrænsede tilladelser. “Det er faktisk en sikker funktion, som brugerne regelmæssigt bruger ansvarligt. Det er ikke en slags fejl eller problem."

Både ImToken og MetaMask har været proaktive med at tilføje sikkerhedsforanstaltninger, såsom pop-up-beskeder, der beder om bekræftelse ved afsendelse af midler og tillader brugere at ændre den godkendte sum i avancerede indstillinger. Ohayon citerede også Brave og Coinbase for deres supplerende advarsler til Dapps.

Det er nødvendigt at tilpasse Dapps til en almindelig DeFi

"Nogle sikkerhedskompromiser, der kan have været acceptable i en æra, hvor brugerne var få og meget teknisk dygtige, er ikke længere acceptable, da DeFi går mainstream, erhverver mange teknisk dårlige brugere og administrerer milliarder af dollars værd af kryptotokens (USD)" Alex Manuskin, ZenGo-forsker, skrev i et indlæg.

Han mener, at hvis nogensinde den kryptovaluta, der allerede er mulig at handle på platforme som f.eks BitcoinPro bliver mainstream, skal der være tilstrækkelige sikkerhedsforanstaltninger på plads, så nye brugere ikke udnyttes. Et lignende problem blev rejst for to uger siden efter krypto-flashen, da spørgsmålet om handel med afbrydere kom op.

For mange er disse forholdsregler i modstrid med kryptoetos decentralisering og personlig autonomi.