a kriptográfia
A ZenGo, a nem őrizetbe vett pénztárca társaságának terméktervezői egy olyan hibát fedeztek fel, amely szinte minden dapp pénztárcából kimerítheti a felhasználói pénzt. Ez a biztonsági hiba két éve ismert. Ouriel Ohayon, a ZenGo vezérigazgatója most riaszt, azt állítva, hogy ez kockázatot jelent a felhasználók számára, akik nem néznek szembe közvetlenül ezzel.
Hogyan működik a hiba
A BaDApprove nevű biztonsági probléma nem kódhiba, hanem az a probléma, hogy a felhasználók miként választják ki a tranzakciós engedélyeket az alapértelmezett beállításokban. Ohayon megállapította, hogy amikor a felhasználók jóváhagynak egy adott tranzakciót, akkor alapértelmezés szerint jóváhagyják az összes jövőbeli tranzakciót is.
Ez megnyitja a kaput azoknak a decentralizált kártékony alkalmazásoknak, amelyek tudomásuk nélkül kölcsönhatásba lépnek a felhasználók pénzeszközeivel.
Mert korábban még nem javították
Amit Ohayon és a ZenGo kiemelt, évek óta ismert probléma a DeFi közösségben. A kérdés tehát az, hogy miért nem oldották meg korábban. Az ipar néhány tagja számára a válasz az, hogy nem annyira hibáról vagy hibáról van szó, mint inkább rossz funkcionalitásról.
2018 szeptemberében Jordan Randolph, az Ethex decentralizált tőzsdei képviselője közepes súlyosságúnak minősítette a problémát. Az egyszeri engedélyek "szinte végtelen mennyiségű zseton ... mozgatására kényelmesek lehetnek" - írta.
"Azonban ha csaknem végtelen számú jóváhagyott token van, az azt jelenti, hogy intelligens szerződéssel az összes token átkerülhet." Az előre beállított pénztárca azután kényelmet és biztonságot választ, mondta.
Ben He, az imToken vezérigazgatója elmondta: "Ez nem biztonsági hiba, hanem az egész Ethereum ökoszisztéma számára rossz egyezmény, hogy a legtöbb Dapps / DeFi alkalmazás korlátlan felhasználói jóváhagyást igényel."
A Metamask hasonló választ adott a korlátlan engedélyekkel kapcsolatban. „Ez valójában egy biztonságos szolgáltatás, amelyet a felhasználók rendszeresen felelősségteljesen használnak. Ez nem valamiféle hiba vagy probléma ”.
Az ImToken és a MetaMask is proaktív módon adott garanciákat, például felbukkanó üzeneteket, amelyek megerősítést kérnek az alapok elküldéséhez, és lehetővé teszik a felhasználók számára, hogy a speciális beállításokban módosítsák a jóváhagyott összeget. Ohayon a Brave-t és a Coinbase-t is idézte a dappok figyelmeztetéseivel kapcsolatos kiegészítő figyelmeztetéseik miatt.
A Dapp-eket a mainstream DeFi-hez kell igazítani
„Néhány olyan biztonsági kompromisszum, amely elfogadható lehetett abban a korszakban, amikor a felhasználók száma kevés volt, és magasan képzettek voltak a technikára, már nem fogadhatók el, mivel a DeFi egyre inkább áramlik, sok technikailag rosszul képzett felhasználót szerez be, és több milliárd dollár értékű titkosítási tokent kezel. USD) ”- írta bejegyzésében Alex Manuskin, a ZenGo kutatója.
Úgy véli, hogy ha valaha is az a kriptovaluta, amellyel már lehet kereskedni olyan platformokon, mint pl BitcoinPro főbbé válik, megfelelő biztosítékokat kell bevezetni annak érdekében, hogy az új felhasználókat ne használják ki. Hasonló probléma merült fel két héttel ezelőtt a kriptovillanás után, amikor felmerült a kereskedelem megszakítóinak kérdése.
Sokak számára ezek az óvintézkedések ellentétesek a decentralizáció és a személyes autonómia kriptotézisével.
