på krypto
Et team av produktdesignere for ZenGo, et ikke-frihetsberøvende lommebokfirma, har oppdaget en feil som kan tømme brukerens midler fra nesten hvilken som helst dapp-lommebok. Denne sikkerhetsfeilen har vært kjent i to år. Ouriel Ohayon, administrerende direktør i ZenGo, slår nå alarmen og hevder at det utgjør en risiko for brukere som ikke står overfor det direkte.
Hvordan buggen fungerer
Sikkerhetsproblemet, kalt BaDApprove, er ikke en kodefeil, men et problem i hvordan brukere velger transaksjonstillatelser i standardinnstillingene. Ohayon fant ut at når brukere godkjenner en bestemt transaksjon, godkjenner de også alle fremtidige transaksjoner som standard.
Dette åpner døren for desentraliserte skadelige applikasjoner som samhandler med brukernes midler uten deres kunnskap.
Fordi det ikke har blitt løst før
Det Ohayon og ZenGo har fremhevet har vært et kjent problem i DeFi-samfunnet i mange år. Spørsmålet er altså hvorfor det ikke har blitt løst før. For noen i bransjen er svaret at det ikke er så mye en feil eller feil som dårlig funksjonalitet.
I september 2018 kategoriserte Jordan Randolph, en representant for Ethex, en desentralisert utveksling, problemet som middels alvorlig. Engangstillatelser for å flytte "en nesten uendelig mengde tokens ... kan være praktisk," skrev han.
"Å ha et nesten uendelig antall godkjente tokens betyr imidlertid at alle [dine] tokens kan overføres med en smart kontrakt." Forhåndsinnstilt lommebok kommer da ned på et valg mellom bekvemmelighet og sikkerhet, sa han.
Ben He, administrerende direktør i imToken, sa: "Det er ikke en sikkerhetsfeil, det er en dårlig konvensjon for hele Ethereum-økosystemet at de fleste Dapps / DeFi-apper krever ubegrensede brukergodkjenninger."
Metamask gjorde et lignende svar angående ubegrensede tillatelser. “Dette er faktisk en trygg funksjon som brukerne regelmessig bruker ansvarlig. Det er ikke en slags feil eller problem ”.
Både ImToken og MetaMask har vært proaktive når det gjelder å legge til garantier, for eksempel pop-up-meldinger som ber om bekreftelse for å sende midler og tillater brukere å endre det godkjente beløpet i avanserte innstillinger. Ohayon siterte også Brave and Coinbase for deres komplementære advarsler til Dapps.
Dapps må tilpasses mainstream DeFi
"Noen sikkerhetsavveininger som kan ha vært akseptable i den tiden da brukerne var få og høyt teknisk opplært, er ikke lenger akseptable ettersom DeFi blir vanlig, anskaffer mange teknisk dårlig trente brukere og administrerer kryptotokener verdt milliarder dollar ( USD), ”skrev Alex Manuskin, ZenGo-forsker, i et innlegg.
Han mener at om det er kryptovalutaen som allerede er mulig å handle på plattformer som Bitcoin Pro blir mainstream, må det legges tilstrekkelige garantier slik at nye brukere ikke utnyttes. Et lignende problem ble reist for to uker siden etter kryptoblinket, da problemet med handelsbrytere oppstod.
For mange strider disse forholdsreglene mot kryptoetos av desentralisering og personlig autonomi.
