na kripto
Tim dizajnera proizvoda za ZenGo, tvrtku koja ne pruža skrbničke novčanike, otkrio je manu koja bi mogla odvesti korisnička sredstva iz gotovo bilo kojeg dapp novčanika. Ova sigurnosna pogreška poznata je već dvije godine. Ouriel Ohayon, izvršni direktor ZenGo-a, sada se oglašava alarmom tvrdeći da predstavlja rizik za korisnike koji se s tim izravno ne suočavaju.
Kako bug radi
Sigurnosni problem, nazvan BaDApprove, nije greška u kodu, već problem u načinu na koji korisnici odabiru dozvole za transakcije u zadanim postavkama. Ohayon je otkrio da kada korisnici odobre određenu transakciju, prema zadanim postavkama odobravaju i sve buduće transakcije.
To otvara vrata za decentralizirane programe zlonamjernog softvera koji komuniciraju s sredstvima korisnika bez njihovog znanja.
Jer to prije nije bilo popravljeno
Ono što su istaknuli Ohayon i ZenGo godinama je poznat problem u zajednici DeFi. Pitanje je, dakle, zašto to prije nije riješeno. Za neke u industriji odgovor je da to nije toliko mana ili greška koliko loša funkcionalnost.
U rujnu 2018. Jordan Randolph, predstavnik Ethexa, decentralizirane razmjene, kategorizirao je problem kao srednju težinu. Jednokratna dopuštenja za premještanje "gotovo beskonačne količine tokena ... mogu biti prikladna", napisao je.
"Međutim, imati gotovo neograničen broj odobrenih tokena znači da bi se svi [vaši] tokeni mogli prenijeti pametnim ugovorom." Unaprijed postavljeni novčanik svodi se na izbor između praktičnosti i sigurnosti, rekao je.
Ben He, izvršni direktor imToken-a, rekao je: "To nije sigurnosna greška, već loša konvencija za cijeli ekosustav Ethereuma da većina aplikacija Dapps / DeFi zahtijeva neograničena odobrenja korisnika."
Metamask je dao sličan odgovor u vezi s neograničenim dozvolama. “Ovo je zapravo sigurna značajka koju korisnici redovito odgovorno koriste. Nije to neka vrsta buba ili problema ”.
I ImToken i MetaMask bili su proaktivni u dodavanju jamstava, poput iskačućih poruka koje traže potvrdu za slanje sredstava i omogućavanja korisnicima da u naprednim postavkama promijene odobreni iznos. Ohayon je također citirao Hrabre i Coinbase zbog dodatnih upozorenja upozorenjima Dappsa.
Dapps treba prilagoditi glavnom DeFi-u
„Neki kompromisi u vezi sa sigurnošću koji su možda bili prihvatljivi u doba kada je korisnika bilo malo i visoko tehnički osposobljeni više nisu prihvatljivi jer DeFi postaje uobičajen, stječući mnoge tehnički loše pripremljene korisnike i upravljajući kripto tokenima vrijednim milijardama dolara ( USD) ”, napisao je u postu Alex Manuskin, istraživač ZenGo-a.
Vjeruje da je ikad kriptovalutom kojom je već moguće trgovati na platformama kao što je BitcoinPro postat će mainstream, moraju se uspostaviti odgovarajuće mjere zaštite kako se novi korisnici ne bi iskorištavali. Sličan problem pokrenut je prije dva tjedna nakon kripto bljeska, kada se pojavilo pitanje trgovanja prekidačima.
Za mnoge su ove mjere opreza u suprotnosti s kripto etosom decentralizacije i osobne autonomije.
