Se encontró un error grave en las carteras de Dapp DeFi

Un equipo de diseñadores de productos para ZenGo, una compañía que no pertenece a la cartera, descubrió una falla que puede drenar los fondos de los usuarios de casi todas las billeteras dapp. Este error de seguridad se conoce desde hace dos años. Ouriel Ohayon, CEO de ZenGo, ahora está haciendo sonar la alarma alegando que representa un riesgo para los usuarios que no lo enfrentan directamente.

Cómo funciona el error

El problema de seguridad, llamado BaDApprove, no es un error de código sino un problema en la forma en que los usuarios seleccionan los permisos de transacción en la configuración predeterminada. Ohayon descubrió que cuando los usuarios aprueban una transacción específica, también aprueban todas las transacciones futuras de manera predeterminada.

Esto abre la puerta a aplicaciones de malware descentralizadas que interactúan con los fondos de los usuarios sin su conocimiento.

Porque no se ha resuelto antes

Lo que Ohayon y ZenGo han destacado ha sido un problema conocido en la comunidad DeFi durante años. La pregunta es, entonces, por qué no se ha resuelto antes. Para algunos en la industria, la respuesta es que no es tanto una falla o error como una mala funcionalidad.

En septiembre de 2018, Jordan Randolph, un representante de Ethex, un intercambio descentralizado, clasificó el problema como de gravedad media. Autorizaciones únicas para mover "una cantidad casi infinita de tokens ... puede ser conveniente", escribió.

"Sin embargo, tener un número casi infinito de tokens aprobados significa que todos [sus] tokens podrían transferirse con un contrato inteligente". El portafolio preestablecido se reduce a una elección entre conveniencia y seguridad, dijo.

Ben He, CEO de imToken, dijo: "No es un error de seguridad, es una mala convención para todo el ecosistema Ethereum que la mayoría de las aplicaciones Dapps / DeFi requieren aprobaciones ilimitadas de los usuarios".

Metamask presentó una respuesta similar con respecto a autorizaciones ilimitadas. “Esta es en realidad una característica segura que los usuarios usan regularmente de manera responsable. No es un tipo de error o problema ".

Tanto ImToken como MetaMask han sido proactivos al agregar garantías, como mensajes emergentes que solicitan confirmación para enviar fondos y permiten a los usuarios cambiar la cantidad aprobada en configuraciones avanzadas. Ohayon también citó a Brave y Coinbase por sus advertencias complementarias a las de los Dapps.

Los Dapps deben adaptarse a una DeFi convencional

"Ciertos compromisos de seguridad que pueden haber sido aceptables en una era en la que los usuarios eran pocos y altamente capacitados técnicamente ya no son aceptables, ya que DeFi se generaliza, adquiere muchos usuarios técnicamente mal capacitados y administra miles de millones de dólares en tokens criptográficos ( USD) ”, escribió Alex Manuskin, investigador de ZenGo, en una publicación.

Él cree que si alguna vez la criptomoneda ya es posible comerciar en plataformas como BitcoinPro se convertirá en la corriente principal, se deben establecer garantías adecuadas para evitar que los nuevos usuarios sean explotados. Un problema similar surgió hace dos semanas después de la criptografía, cuando surgió el problema del comercio de interruptores automáticos.

Para muchos, estas precauciones van en contra del espíritu criptográfico de descentralización y autonomía personal.