In den Portfolios von Dapp DeFi wurde ein schwerwiegender Fehler gefunden

Ein Team von Produktdesignern für ZenGo, ein Nicht-Portfolio-Unternehmen, hat einen Fehler entdeckt, durch den Benutzergelder aus fast allen dapp-Geldbörsen abgezogen werden können. Dieser Sicherheitsfehler ist seit zwei Jahren bekannt. Ouriel Ohayon, CEO von ZenGo, schlägt jetzt Alarm und behauptet, dass dies ein Risiko für Benutzer darstellt, die nicht direkt damit konfrontiert sind.

Wie der Fehler funktioniert

Das Sicherheitsproblem namens BaDApprove ist kein Codefehler, sondern ein Problem bei der Auswahl von Transaktionsberechtigungen durch Benutzer in den Standardeinstellungen. Ohayon stellte fest, dass Benutzer, die eine bestimmte Transaktion genehmigen, standardmäßig auch alle zukünftigen Transaktionen genehmigen.

Dies öffnet die Tür zu dezentralen Malware-Anwendungen, die ohne deren Wissen mit den Geldern der Benutzer interagieren.

Weil es vorher nicht gelöst wurde

Was Ohayon und ZenGo hervorgehoben haben, ist seit Jahren ein bekanntes Problem in der DeFi-Community. Die Frage ist also, warum es vorher nicht gelöst wurde. Für einige in der Branche ist die Antwort, dass es weniger ein Fehler als eine schlechte Funktionalität ist.

Im September 2018 stufte Jordan Randolph, ein Vertreter von Ethex, einem dezentralen Austausch, das Problem als mittelschwer ein. Einmalige Berechtigungen zum Verschieben "einer nahezu unendlichen Anzahl von Token ... können praktisch sein", schrieb er.

"Eine nahezu unendliche Anzahl genehmigter Token bedeutet jedoch, dass alle [Ihre] Token mit einem intelligenten Vertrag übertragen werden können." Das Portfolio-Preset läuft dann auf die Wahl zwischen Komfort und Sicherheit hinaus, sagte er.

Ben He, CEO von imToken, sagte: "Es ist kein Sicherheitsfehler, es ist eine schlechte Konvention für das gesamte Ethereum-Ökosystem, dass die meisten Dapps / DeFi-Apps unbegrenzte Benutzergenehmigungen erfordern."

Metamask gab eine ähnliche Antwort bezüglich unbegrenzter Autorisierungen. „Dies ist eine sichere Funktion, die Benutzer regelmäßig verantwortungsbewusst nutzen. Es ist keine Art von Fehler oder Problem. "

Sowohl ImToken als auch MetaMask haben proaktiv Garantien hinzugefügt, z. B. Popup-Nachrichten, in denen eine Bestätigung für das Senden von Geldern angefordert wird, und die Möglichkeit für Benutzer, den genehmigten Betrag in erweiterten Einstellungen zu ändern. Ohayon zitierte auch Brave und Coinbase für ihre Warnungen, die die der Dapps ergänzen.

Dapps müssen an ein Mainstream-DeFi angepasst werden

"Bestimmte Sicherheitskompromisse, die in einer Zeit, in der es nur wenige und technisch hochqualifizierte Benutzer gab, möglicherweise akzeptabel waren, sind nicht mehr akzeptabel, da DeFi zum Mainstream wird, viele technisch schlecht geschulte Benutzer erwirbt und Krypto-Token in Milliardenhöhe verwaltet ( USD) “, schrieb Alex Manuskin, ZenGo-Forscher, in einem Beitrag.

Er glaubt, dass wenn überhaupt die Kryptowährung, die bereits möglich ist, auf Plattformen wie zu handeln Bitcoin Pro Es wird zum Mainstream, es müssen angemessene Garantien geschaffen werden, um zu verhindern, dass neue Benutzer ausgenutzt werden. Ein ähnliches Problem wurde vor zwei Wochen nach dem Krypto-Flash angesprochen, als das Problem des Handels mit Leistungsschaltern auftauchte.

Für viele widersprechen diese Vorsichtsmaßnahmen dem Krypto-Ethos der Dezentralisierung und der persönlichen Autonomie.