di crypto
Satu pasukan pereka produk untuk ZenGo, sebuah syarikat dompet bukan kustodian, telah menemui kekurangan yang dapat menguras dana pengguna dari hampir semua dompet dapp. Bug keselamatan ini telah dikenali selama dua tahun. Ouriel Ohayon, Ketua Pegawai Eksekutif ZenGo, kini membunyikan penggera yang menyatakan bahawa ia menimbulkan risiko kepada pengguna yang tidak menghadapinya secara langsung.
Bagaimana pepijat itu berfungsi
Masalah keselamatan, yang disebut BaDApprove, bukan bug kod tetapi masalah dalam bagaimana pengguna memilih izin transaksi dalam tetapan lalai. Ohayon mendapati bahawa apabila pengguna menyetujui transaksi tertentu, mereka juga akan meluluskan semua transaksi masa depan secara lalai.
Ini membuka pintu untuk aplikasi malware terdesentralisasi yang berinteraksi dengan dana pengguna tanpa pengetahuan mereka.
Kerana ia belum diperbaiki sebelumnya
Apa yang diketengahkan oleh Ohayon dan ZenGo telah menjadi masalah yang diketahui dalam komuniti DeFi selama bertahun-tahun. Oleh itu, persoalannya mengapa ia tidak dapat diselesaikan sebelumnya. Bagi sebilangan besar industri, jawapannya adalah bahawa ia tidak banyak kekurangan atau bug sebagai fungsi yang buruk.
Pada bulan September 2018, Jordan Randolph, wakil Ethex, pertukaran yang terdesentralisasi, mengkategorikan masalah itu sebagai tahap keparahan sederhana. Kebenaran sekali untuk memindahkan "jumlah token yang hampir tidak terhingga ... boleh menjadi senang," tulisnya.
"Namun, memiliki jumlah token yang diluluskan yang hampir tidak terhingga berarti semua token [anda] dapat dipindahkan dengan kontrak pintar." Pretet dompet kemudian menjadi pilihan antara kemudahan dan keselamatan, katanya.
Ben He, Ketua Pegawai Eksekutif imToken, berkata: "Ini bukan bug keselamatan, ini adalah konvensyen buruk untuk seluruh ekosistem Ethereum bahawa kebanyakan aplikasi Dapps / DeFi memerlukan persetujuan pengguna tanpa had."
Metamask membuat tindak balas serupa mengenai kebenaran tanpa had. “Ini sebenarnya adalah ciri selamat yang selalu digunakan pengguna dengan penuh tanggungjawab. Ini bukan semacam bug atau masalah ”.
Baik ImToken dan MetaMask telah proaktif dalam menambahkan jaminan, seperti pesan timbul yang meminta pengesahan untuk mengirim dana dan membolehkan pengguna mengubah jumlah yang disetujui dalam tetapan lanjutan. Ohayon juga memetik Brave dan Coinbase untuk peringatan pelengkap mereka kepada Dapps.
Dapps perlu disesuaikan dengan arus perdana DeFi
"Beberapa pertukaran keselamatan yang mungkin dapat diterima pada era ketika pengguna hanya sedikit dan terlatih secara teknikal tidak lagi dapat diterima kerana DeFi menjadi arus perdana, memperoleh banyak pengguna yang tidak bersedia secara teknikal dan menguruskan token kripto bernilai berbilion dolar ( USD), ”Alex Manuskin, penyelidik ZenGo, menulis dalam catatan.
Dia percaya bahawa jika ada cryptocurrency yang sudah mungkin dapat diperdagangkan di platform seperti BitcoinPro akan menjadi arus perdana, perlindungan yang mencukupi mesti disediakan agar pengguna baru tidak dieksploitasi. Masalah yang sama timbul dua minggu yang lalu selepas flash crypto, ketika timbul masalah pemutus litar perdagangan.
Bagi kebanyakan orang, langkah berjaga-jaga ini bertentangan dengan etos crypto mengenai desentralisasi dan autonomi peribadi.
