tentang crypto
Sebuah tim desainer produk untuk ZenGo, sebuah perusahaan dompet non-kustodian, telah menemukan kelemahan yang dapat menguras dana pengguna dari hampir semua dompet dapp. Bug keamanan ini sudah dikenal selama dua tahun. Ouriel Ohayon, CEO ZenGo, sekarang membunyikan alarm dengan mengklaim bahwa hal itu menimbulkan risiko bagi pengguna yang tidak menghadapinya secara langsung.
Bagaimana bug bekerja
Masalah keamanan, yang disebut BaDApprove, bukanlah bug kode tetapi masalah dalam cara pengguna memilih izin transaksi dalam pengaturan default. Ohayon menemukan bahwa ketika pengguna menyetujui transaksi tertentu, mereka juga menyetujui semua transaksi mendatang secara default.
Ini membuka pintu untuk aplikasi malware terdesentralisasi yang berinteraksi dengan dana pengguna tanpa sepengetahuan mereka.
Karena belum diperbaiki sebelumnya
Apa yang disorot oleh Ohayon dan ZenGo telah menjadi masalah yang diketahui di komunitas DeFi selama bertahun-tahun. Pertanyaannya adalah, mengapa hal itu belum diselesaikan sebelumnya. Untuk beberapa orang di industri ini, jawabannya adalah bahwa ini bukan cacat atau bug, melainkan fungsionalitas yang buruk.
Pada September 2018, Jordan Randolph, perwakilan dari Ethex, pertukaran yang terdesentralisasi, mengkategorikan masalah sebagai tingkat keparahan sedang. Izin satu kali untuk memindahkan "jumlah token yang hampir tak terbatas ... bisa jadi nyaman," tulisnya.
"Namun, memiliki jumlah token yang disetujui hampir tak terbatas berarti bahwa semua token [Anda] dapat ditransfer dengan kontrak pintar." Preset dompet kemudian turun ke pilihan antara kenyamanan dan keamanan, katanya.
Ben He, CEO imToken, berkata: "Ini bukan bug keamanan, ini adalah konvensi yang buruk untuk seluruh ekosistem Ethereum bahwa sebagian besar aplikasi Dapps / DeFi memerlukan persetujuan pengguna yang tidak terbatas."
Metamask membuat tanggapan serupa terkait izin tak terbatas. “Ini sebenarnya adalah fitur aman yang biasa digunakan pengguna secara bertanggung jawab. Ini bukan sejenis bug atau masalah ”.
Baik ImToken dan MetaMask telah proaktif dalam menambahkan jaminan, seperti pesan munculan yang meminta konfirmasi untuk mengirim dana dan memungkinkan pengguna untuk mengubah jumlah yang disetujui dalam pengaturan lanjutan. Ohayon juga mengutip Brave dan Coinbase atas peringatan mereka yang saling melengkapi untuk Dapps.
Dapps perlu disesuaikan dengan DeFi arus utama
“Beberapa pertukaran keamanan yang mungkin dapat diterima di era ketika pengguna sedikit dan sangat terlatih secara teknis tidak lagi dapat diterima karena DeFi menjadi arus utama, memperoleh banyak pengguna yang tidak terlatih secara teknis dan mengelola token kripto senilai miliaran dolar ( USD), ”Alex Manuskin, peneliti ZenGo, menulis dalam sebuah posting.
Ia percaya bahwa jika pernah cryptocurrency itu sudah memungkinkan untuk diperdagangkan di platform seperti BitcoinPro akan menjadi arus utama, pengamanan yang memadai harus diberlakukan sehingga pengguna baru tidak dieksploitasi. Masalah serupa muncul dua minggu lalu setelah flash crypto, ketika masalah pemutus sirkuit perdagangan muncul.
Bagi banyak orang, tindakan pencegahan ini bertentangan dengan etos crypto desentralisasi dan otonomi pribadi.
