krüptol
Vangistamata rahakotiettevõtte ZenGo tootedisainerite meeskond on avastanud vea, mis võib kasutaja rahad peaaegu igast dapp-rahakotist tühjendada. See turvaviga on olnud teada kaks aastat. ZenGo tegevjuht Ouriel Ohayon helistab nüüd häirega, väites, et see kujutab endast riski kasutajatele, kes sellega otseselt silmitsi ei seisa.
Kuidas viga töötab
Turvaprobleem nimega BaDApprove ei ole koodiviga, vaid probleem selles, kuidas kasutajad vaikeseadetes tehinguõigusi valivad. Ohayon leidis, et kui kasutajad kinnitavad konkreetse tehingu, kiidavad nad vaikimisi heaks ka kõik tulevased tehingud.
See avab ukse detsentraliseeritud pahavararakendustele, mis suhtlevad kasutajate vahenditega nende teadmata.
Sest seda pole varem parandatud
See, mida Ohayon ja ZenGo esile on toonud, on DeFi kogukonnas juba aastaid tuntud probleem. Küsimus on siis selles, miks pole seda varem lahendatud. Mõne tööstuse jaoks on vastus, et see pole mitte niivõrd viga kui ka viga, kui halb funktsionaalsus.
2018. aasta septembris liigitas detsentraliseeritud börsi Ethex esindaja Jordan Randolph probleemi keskmise raskusastmega. Ühekordsed load "peaaegu lõpmatu hulga märkide ... liigutamiseks võivad olla mugavad", kirjutas ta.
"Kuid peaaegu lõpmatu arvu heakskiidetud märkide olemasolu tähendab, et kõiki [teie] märke saab nutika lepinguga üle anda." Seejärel saab rahakoti eelseadistatud valida mugavuse ja turvalisuse vahel, ütles ta.
ImTokeni tegevjuht Ben He ütles: "See pole turvaviga, vaid kogu Ethereumi ökosüsteemi jaoks halb kokkulepe, et enamik Dappsi / DeFi rakendusi nõuab kasutajate piiramatut kinnitamist."
Metamask tegi sarnase vastuse piiramatute lubade kohta. „See on tegelikult turvaline funktsioon, mida kasutajad kasutavad regulaarselt vastutustundlikult. See pole mingi viga ega probleem ”.
Nii ImToken kui ka MetaMask on ennetavalt lisanud garantiisid, näiteks hüpikaknad, mis nõuavad raha saatmiseks kinnitust ja võimaldavad kasutajatel täpsustatud seadetes heakskiidetud summat muuta. Ohayon tõi välja ka Brave'i ja Coinbase'i nende täiendavate hoiatuste eest Dappide omadele.
Dappid tuleb kohandada DeFi peavooluga
"Mõned turvalisuse kompromissid, mis võisid olla aktsepteeritavad ajastul, kui kasutajaid oli vähe ja tehniliselt väga koolitatud, pole enam vastuvõetavad, kuna DeFi läheb peavoolu, omandades palju tehniliselt halvasti koolitatud kasutajaid ja haldades miljardite dollarite väärtuses krüptomärke USD), ”kirjutas ZenGo teadlane Alex Manuskin postituses.
Ta usub, et kui kunagi varem on krüptoraha võimalik kaubelda sellistel platvormidel nagu BitcoinPro peavooluks, tuleb kehtestada piisavad kaitsemeetmed, et uusi kasutajaid ära ei kasutataks. Sarnane probleem tõstatati kaks nädalat tagasi pärast krüptovälku, kui kerkis kaitselülitite kauplemise küsimus.
Paljude jaoks on need ettevaatusabinõud vastuolus detsentraliseerimise ja isikliku autonoomia krüptoseetosega.
