στο crypto
Μια ομάδα σχεδιαστών προϊόντων για την ZenGo, μια εταιρεία μη πιστωτικών πορτοφολιών, ανακάλυψε ένα ελάττωμα που θα μπορούσε να εξαντλήσει τα χρήματα των χρηστών από σχεδόν οποιοδήποτε πορτοφόλι dapp. Αυτό το σφάλμα ασφαλείας είναι γνωστό εδώ και δύο χρόνια. Ο Ouriel Ohayon, Διευθύνων Σύμβουλος της ZenGo, κρούει τώρα τον κώδωνα του κινδύνου ισχυριζόμενος ότι αποτελεί κίνδυνο για τους χρήστες που δεν το αντιμετωπίζουν άμεσα.
Πώς λειτουργεί το σφάλμα
Το ζήτημα ασφαλείας, που ονομάζεται BaDApprove, δεν είναι ένα σφάλμα κώδικα, αλλά ένα ζήτημα στον τρόπο με τον οποίο οι χρήστες επιλέγουν τα δικαιώματα συναλλαγής στις προεπιλεγμένες ρυθμίσεις. Ο Ohayon ανακάλυψε ότι όταν οι χρήστες εγκρίνουν μια συγκεκριμένη συναλλαγή, εγκρίνουν επίσης όλες τις μελλοντικές συναλλαγές από προεπιλογή.
Αυτό ανοίγει την πόρτα για τις αποκεντρωμένες εφαρμογές κακόβουλου λογισμικού να αλληλεπιδρούν με τα κεφάλαια των χρηστών εν αγνοία τους.
Γιατί αυτό δεν έχει διορθωθεί στο παρελθόν
Αυτό που τόνισαν οι Ohayon και ZenGo ήταν ένα γνωστό ζήτημα στην κοινότητα του DeFi εδώ και χρόνια. Το ερώτημα είναι, λοιπόν, γιατί δεν έχει διορθωθεί νωρίτερα. Για ορισμένους στον κλάδο, η απάντηση είναι ότι δεν είναι τόσο ελάττωμα ή σφάλμα όσο κακό χαρακτηριστικό.
Τον Σεπτέμβριο του 2018, ο Τζόρνταν Ράντολφ, εκπρόσωπος της Ethex, ενός αποκεντρωμένου χρηματιστηρίου, χαρακτήρισε το ζήτημα ως μέτριας σοβαρότητας. Οι εφάπαξ άδειες για τη μετακίνηση «ένας σχεδόν άπειρος αριθμός μάρκες…μπορεί να είναι οικονομικά αποδοτικός», έγραψε.
"Ωστόσο, το να έχετε σχεδόν άπειρο αριθμό εγκεκριμένων κουπονιών σημαίνει ότι όλα τα [σας] μάρκες θα μπορούσαν να μεταφερθούν με ένα έξυπνο συμβόλαιο." Ως εκ τούτου, η προεπιλογή του πορτοφολιού καταλήγει σε μια επιλογή μεταξύ ευκολίας και ασφάλειας, είπε.
Ο Ben He, Διευθύνων Σύμβουλος της imToken, δήλωσε: «Δεν είναι ένα σφάλμα ασφάλειας, είναι μια κακή σύμβαση για ολόκληρο το οικοσύστημα του Ethereum ότι οι περισσότερες εφαρμογές Dapps/DeFi απαιτούν απεριόριστες εγκρίσεις από τους χρήστες».
Η Metamask υπέβαλε παρόμοια απάντηση σχετικά με τα απεριόριστα δικαιώματα. «Είναι στην πραγματικότητα μια ασφαλής λειτουργία που οι χρήστες χρησιμοποιούν τακτικά με υπευθυνότητα. Δεν είναι κάποιου είδους σφάλμα ή πρόβλημα».
Τόσο το ImToken όσο και το MetaMask ήταν προληπτικά στην προσθήκη διασφαλίσεων, όπως αναδυόμενα μηνύματα που ζητούν επιβεβαίωση κατά την αποστολή χρημάτων και επιτρέπουν στους χρήστες να αλλάζουν το εγκεκριμένο ποσό σε σύνθετες ρυθμίσεις. Ο Ohayon ανέφερε επίσης το Brave και το Coinbase για τις συμπληρωματικές προειδοποιήσεις τους σε σχέση με εκείνες του Dapps.
Είναι απαραίτητο να προσαρμόσετε τα Dapps σε ένα mainstream DeFi
«Ορισμένοι συμβιβασμοί ασφαλείας που μπορεί να ήταν αποδεκτοί σε μια εποχή όπου οι χρήστες ήταν λίγοι και υψηλά τεχνικά καταρτισμένοι δεν είναι πλέον αποδεκτοί καθώς το DeFi γίνεται mainstream, αποκτώντας πολλούς τεχνικά ανεπαρκώς εκπαιδευμένους χρήστες και διαχειριζόμενοι μάρκες κρυπτογράφησης αξίας δισεκατομμυρίων δολαρίων (USD)», έγραψε σε μια ανάρτηση ο Alex Manuskin, ερευνητής ZenGo.
Πιστεύει ότι αν ποτέ το κρυπτονόμισμα που είναι ήδη δυνατό να διαπραγματευτεί σε πλατφόρμες όπως π.χ BitcoinPro γίνεται mainstream, θα πρέπει να τεθούν σε ισχύ επαρκείς διασφαλίσεις ώστε να μην γίνεται εκμετάλλευση των νέων χρηστών. Ένα παρόμοιο ζήτημα τέθηκε πριν από δύο εβδομάδες μετά το φλας κρυπτογράφησης, όταν εμφανίστηκε το θέμα των διακοπτών κυκλώματος συναλλαγών.
Για πολλούς, αυτές οι προφυλάξεις έρχονται σε αντίθεση με το κρυπτο ήθος της αποκέντρωσης και της προσωπικής αυτονομίας.
