par kriptogrāfiju
Produkta dizaineru komanda ZenGo, kas nav ar brīvības atņemšanu saistīts maka uzņēmums, ir atklājusi trūkumu, kas varētu iztukšot lietotāju līdzekļus gandrīz no jebkura dapp maka. Šī drošības kļūda ir pazīstama divus gadus. ZenGo izpilddirektors Ouriels Ohayons tagad izsauc trauksmi, apgalvojot, ka tas rada risku lietotājiem, kuri ar to tieši nesaskaras.
Kā darbojas kļūda
Drošības problēma, ko sauc par BaDApprove, nav koda kļūda, bet gan problēma, kā lietotāji noklusējuma iestatījumos izvēlas darījumu atļaujas. Ohayon atklāja, ka tad, kad lietotāji apstiprina konkrētu darījumu, viņi pēc noklusējuma apstiprina arī visus turpmākos darījumus.
Tas paver iespējas decentralizētām ļaunprātīgas programmatūras lietojumprogrammām, kas mijiedarbojas ar lietotāju līdzekļiem bez viņu ziņas.
Tāpēc, ka tas iepriekš nav novērsts
Tas, ko uzsvēra Ohayon un ZenGo, gadiem ilgi ir bijusi zināma problēma DeFi kopienā. Tad jautājums ir, kāpēc tas iepriekš nav atrisināts. Dažiem nozarē atbilde ir tāda, ka tas nav tik daudz trūkums vai kļūda, cik slikta funkcionalitāte.
2018. gada septembrī Ethex, decentralizētas biržas pārstāvis Džordans Rendolfs problēmu klasificēja kā vidēja smaguma pakāpi. Vienreizējas atļaujas pārvietot "gandrīz bezgalīgu daudzumu žetonu ... var būt ērti", viņš rakstīja.
"Tomēr, ja jums ir gandrīz bezgalīgs apstiprinātu žetonu skaits, tas nozīmē, ka visus [jūsu] žetonus varētu pārsūtīt ar viedo līgumu." Pēc tam maka sākotnējais iestatījums ir izvēle starp ērtību un drošību, viņš teica.
Bens He, imToken izpilddirektors, sacīja: "Tā nav drošības kļūda, tā ir slikta konvencija visai Ethereum ekosistēmai, ka lielākajai daļai Dapps / DeFi lietotņu ir nepieciešams neierobežots lietotāju apstiprinājums."
Metamask sniedza līdzīgu atbildi par neierobežotām atļaujām. “Šī faktiski ir droša funkcija, kuru lietotāji regulāri lieto atbildīgi. Tā nav kaut kāda kļūda vai problēma ”.
Gan ImToken, gan MetaMask ir aktīvi rīkojušies, pievienojot garantijas, piemēram, uznirstošos ziņojumus, pieprasot apstiprinājumu naudas pārsūtīšanai un ļaujot lietotājiem mainīt apstiprināto summu papildu iestatījumos. Ohayon arī atsaucās uz Brave un Coinbase par viņu papildu brīdinājumiem Dapps.
Dapps ir jāpielāgo galvenajam DeFi
“Daži drošības kompromisi, kas, iespējams, ir bijuši pieņemami laikmetā, kad lietotāju bija maz un ļoti tehniski apmācīti, vairs nav pieņemami, jo DeFi iet uz priekšu, iegūstot daudz tehniski slikti sagatavotu lietotāju un pārvaldot miljardu dolāru vērtus kriptogrāfijas marķierus ( USD), ”ierakstā raksta ZenGo pētnieks Alekss Manuskins.
Viņš uzskata, ka ja kādreiz kriptonauda, kuru jau ir iespējams tirgot tādās platformās kā BitcoinPro kļūs par pamatu, ir jāievieš atbilstoši drošības pasākumi, lai netiktu izmantoti jauni lietotāji. Līdzīga problēma tika izvirzīta pirms divām nedēļām pēc kriptogrāfijas zibspuldzes, kad radās jautājums par automātiskajiem slēdžiem.
Daudziem šie piesardzības pasākumi ir pretrunā decentralizācijas un personiskās autonomijas kriptogrāfiskajam noskaņojumam.
