„DeFi Dapp“ piniginėse rado rimtą klaidą

Ne laisvės atėmimo vietų piniginių įmonės „ZenGo“ produktų dizainerių komanda atrado trūkumą, kuris gali išeikvoti vartotojų lėšas iš beveik bet kurios „Dapp“ piniginės. Ši saugumo klaida buvo žinoma dvejus metus. „ZenGo“ generalinis direktorius Ourielas Ohayonas dabar skelbia pavojaus signalą teigdamas, kad tai kelia riziką vartotojams, kurie su tuo tiesiogiai nesusiduria.

Kaip veikia klaida

Saugos problema, vadinama „BaDApprove“, yra ne kodo klaida, o problema, kaip vartotojai pasirenka operacijų teises numatytuosiuose nustatymuose. Ohayonas nustatė, kad kai vartotojai patvirtina konkrečią operaciją, jie pagal numatytuosius nustatymus patvirtina ir visas būsimas operacijas.

Tai atveria duris decentralizuotoms kenkėjiškų programų programoms, kurios sąveikauja su vartotojų lėšomis jiems nežinant.

Nes anksčiau nebuvo sutvarkyta

Tai, ką pabrėžė Ohayonas ir „ZenGo“, „DeFi“ bendruomenėje jau daugelį metų buvo žinoma problema. Taigi kyla klausimas, kodėl jis nebuvo išspręstas anksčiau. Kai kuriems pramonės atstovams atsakymas yra tas, kad tai ne tiek trūkumas ar klaida, kiek blogas funkcionalumas.

2018 m. Rugsėjo mėn. Decentralizuotų biržų „Ethex“ atstovas Jordan Randolph problemą priskyrė vidutinio sunkumo kategorijai. Vienkartiniai leidimai perkelti „beveik begalinį žetonų kiekį ... gali būti patogu“, - rašė jis.

"Tačiau turint beveik begalinį patvirtintų žetonų skaičių reiškia, kad visi [jūsų] žetonai galėtų būti perduoti su išmaniąja sutartimi." Tada iš anksto nustatyta piniginė pasirenka patogumą ir saugumą, sakė jis.

Benas, „imToken“ generalinis direktorius, sakė: „Tai nėra saugumo klaida, tai yra blogas visos„ Ethereum “ekosistemos susitarimas, kad daugumai„ Dapps “/„ DeFi “programų reikia neriboto vartotojo patvirtinimo“.

„Metamask“ pateikė panašų atsakymą dėl neribotų leidimų. „Iš tikrųjų tai yra saugi funkcija, kurią vartotojai reguliariai naudoja atsakingai. Tai nėra kažkokia klaida ar problema “.

Tiek „ImToken“, tiek „MetaMask“ aktyviai įtraukė garantijas, pavyzdžiui, iškylančius pranešimus, kuriuose prašoma patvirtinti lėšų siuntimą ir leidžia vartotojams pakeisti patvirtintą sumą išplėstiniuose nustatymuose. Ohayonas taip pat nurodė „Brave“ ir „Coinbase“ dėl papildomų įspėjimų „Dapps“.

„Dapps“ reikia pritaikyti „DeFi“

„Kai kurie saugumo kompromisai, kurie galėjo būti priimtini tuo metu, kai naudotojų buvo nedaug ir jie buvo labai techniškai apmokyti, nebėra priimtini, nes„ DeFi “eina į priekį, įsigydama daug techniškai netinkamai parengtų vartotojų ir valdydama milijardus dolerių kainuojančius šifravimo žetonus ( USD) “, - įraše parašė Alexas Manuskinas,„ ZenGo “tyrėjas.

Jis mano, kad jei kada kriptovaliuta, kuria jau galima prekiauti tokiose platformose, kaip „Bitcoin Pro“ taps pagrindine, turi būti įdiegtos tinkamos apsaugos priemonės, kad nebūtų išnaudojami nauji vartotojai. Panaši problema buvo iškelta prieš dvi savaites po šifravimo, kai iškilo prekybos automatinių jungiklių problema.

Daugeliui šios atsargumo priemonės prieštarauja decentralizacijos ir asmeninės autonomijos šifravimo principams.