salauksessa
Ryhmä tuotesuunnittelijoita ZenGolle, muulle kuin vapausrangaistukselle, on löytänyt virheen, joka voi tyhjentää käyttäjän varat melkein mistä tahansa dapp-lompakosta. Tämä tietoturvavirhe on ollut tiedossa kaksi vuotta. ZenGon toimitusjohtaja Ouriel Ohayon antaa nyt hälytyksen väittäen, että se aiheuttaa riskin käyttäjille, jotka eivät kohta sitä suoraan.
Kuinka vika toimii
Tietoturvaongelma, nimeltään BaDApprove, ei ole koodivirhe, vaan ongelma siinä, miten käyttäjät valitsevat tapahtumaoikeudet oletusasetuksissa. Ohayon havaitsi, että kun käyttäjät hyväksyvät tietyn tapahtuman, he hyväksyvät oletusarvoisesti myös kaikki tulevat tapahtumat.
Tämä avaa oven hajautetuille haittaohjelmasovelluksille, jotka ovat vuorovaikutuksessa käyttäjien varojen kanssa heidän tietämättään.
Koska sitä ei ole korjattu aiemmin
Se, mitä Ohayon ja ZenGo ovat korostaneet, on ollut tunnettu ongelma DeFi-yhteisössä jo vuosia. Kysymys kuuluu, miksi sitä ei ole ratkaistu aiemmin. Joillekin toimialoille vastaus on, että se ei ole niinkään vika tai virhe kuin huonot toiminnot.
Syyskuussa 2018 hajautetun pörssin Ethexin edustaja Jordan Randolph luokitteli ongelman keskivaikeaksi. Kertaluonteiset luvat siirtää "melkein ääretön määrä rahakkeita ... voi olla kätevää", hän kirjoitti.
"Lähes ääretön määrä hyväksyttyjä tunnuksia tarkoittaa kuitenkin, että kaikki [tunnuksesi] voidaan siirtää älykkäällä sopimuksella." Esiasetettu lompakko tulee sitten valitsemaan mukavuuden ja turvallisuuden välillä, hän sanoi.
ImTokenin toimitusjohtaja Ben He sanoi: "Se ei ole tietoturvavirhe, se on huono käytäntö koko Ethereumin ekosysteemille, että useimmat Dapps / DeFi-sovellukset edellyttävät rajoittamatonta käyttäjien hyväksyntää."
Metamask teki samanlaisen vastauksen rajoittamattomiin käyttöoikeuksiin. "Tämä on itse asiassa turvallinen ominaisuus, jota käyttäjät käyttävät säännöllisesti vastuullisesti. Se ei ole jonkinlainen vika tai ongelma ”.
Sekä ImToken että MetaMask ovat olleet ennakoivasti lisänneet takuita, kuten ponnahdusviestejä, joissa pyydetään vahvistusta varojen lähettämiseen ja sallimaan käyttäjien muuttaa hyväksyttyä määrää lisäasetuksissa. Ohayon mainitsi myös Brave ja Coinbase täydentävistä varoituksistaan Dappien varoituksille.
Dappit on mukautettava DeFi-valtavirtaan
"Jotkut tietoturvakompromissit, jotka ovat saattaneet olla hyväksyttäviä aikakaudella, jolloin käyttäjiä oli vähän ja teknisesti koulutettu, eivät ole enää hyväksyttäviä, kun DeFi siirtyy valtavirtaan hankkimalla monia teknisesti huonosti koulutettuja käyttäjiä ja hallinnoimalla miljardien dollareiden arvoisia salausvaltuuksia ( USD), ”ZenGo-tutkija Alex Manuskin kirjoitti viestissä.
Hän uskoo, että jos koskaan kryptovaluutta, jolla on jo mahdollista käydä kauppaa esimerkiksi BitcoinPro tulee yleinen, on asetettava riittävät takeet, jotta uusia käyttäjiä ei hyödynnetä. Samanlainen ongelma nousi kaksi viikkoa sitten salauksen välähdyksen jälkeen, kun esiin tuli katkaisijoiden kaupankäynti.
Monille nämä varotoimet ovat ristiriidassa hajauttamisen ja henkilökohtaisen autonomian salauksen kanssa.
