op de crypto
Een team van productontwerpers voor ZenGo, een niet-kredietportefeuillebedrijf, ontdekte een fout die gebruikersgeld uit bijna elke dapp-portemonnee kon halen. Deze beveiligingsbug is al twee jaar bekend. Ouriel Ohayon, CEO van ZenGo, luidt nu de noodklok en beweert dat het een risico vormt voor gebruikers die er niet direct mee te maken hebben.
Hoe de fout werkt
Het beveiligingsprobleem, genaamd BaDApprove, is geen codefout, maar een probleem in hoe gebruikers transactiemachtigingen selecteren in de standaardinstellingen. Ohayon ontdekte dat wanneer gebruikers een specifieke transactie goedkeuren, ze standaard ook alle toekomstige transacties goedkeuren.
Dit opent de deur voor gedecentraliseerde malware-applicaties om zonder hun medeweten te communiceren met de fondsen van gebruikers.
Waarom is dit niet eerder opgelost
Wat Ohayon en ZenGo benadrukten, is al jaren een bekend probleem in de DeFi-gemeenschap. De vraag is dan ook waarom het niet eerder is opgelost. Voor sommigen in de branche is het antwoord dat het niet zozeer een fout of bug is als wel een slechte eigenschap.
In september 2018 categoriseerde Jordan Randolph, een vertegenwoordiger van Ethex, een gedecentraliseerde beurs, het probleem als gemiddeld ernstig. Eenmalige machtigingen om "een bijna oneindig aantal tokens te verplaatsen... kunnen kosteneffectief zijn", schreef hij.
"Het hebben van een bijna oneindig aantal goedgekeurde tokens betekent echter dat al [uw] tokens kunnen worden overgedragen met één slim contract." De vooraf ingestelde portefeuille komt daarom neer op een keuze tussen gemak en veiligheid, zei hij.
Ben He, CEO van imToken, zei: "Het is geen fout in de beveiliging, het is een slechte conventie voor het hele Ethereum-ecosysteem dat de meeste Dapps/DeFi-apps onbeperkte goedkeuringen van gebruikers vereisen."
Metamask diende een soortgelijk antwoord in met betrekking tot onbeperkte machtigingen. “Het is eigenlijk een veilige functie die gebruikers regelmatig op verantwoorde wijze gebruiken. Het is geen bug of probleem."
Zowel ImToken als MetaMask zijn proactief geweest in het toevoegen van beveiligingen, zoals pop-upberichten die om bevestiging vragen bij het verzenden van geld en gebruikers in staat stellen het goedgekeurde bedrag in geavanceerde instellingen te wijzigen. Ohayon haalde ook Brave en Coinbase aan voor hun aanvullende waarschuwingen bij die van Dapps.
Het is noodzakelijk om de Dapps aan te passen aan een mainstream DeFi
"Sommige beveiligingscompromissen die misschien acceptabel waren in een tijd waarin er weinig gebruikers waren en zeer technisch vaardig, zijn niet langer acceptabel nu DeFi mainstream wordt, veel technisch arme gebruikers krijgt en miljarden dollars aan cryptotokens (USD) beheert" Alex Manuskin, ZenGo-onderzoeker, schreef in een bericht.
Hij is van mening dat als ooit de cryptocurrency dat al mogelijk is om te handelen op platforms zoals Bitcoin Pro gemeengoed wordt, zullen er adequate waarborgen moeten zijn om te voorkomen dat nieuwe gebruikers worden uitgebuit. Een soortgelijk probleem werd twee weken geleden na de crypto-flash aan de orde gesteld, toen de kwestie van het verhandelen van stroomonderbrekers aan de orde kwam.
Voor velen druisen deze voorzorgsmaatregelen in tegen het crypto-ethos van decentralisatie en persoonlijke autonomie.
