na krypto
Zespół projektantów produktów dla ZenGo, firmy spoza portfela, odkrył lukę, która może wysysać fundusze użytkowników z prawie wszystkich portfeli dapp. Ten błąd bezpieczeństwa jest znany od dwóch lat. Ouriel Ohayon, dyrektor generalny ZenGo, teraz bije na alarm, twierdząc, że stwarza to ryzyko dla użytkowników, którzy nie mają bezpośredniego kontaktu z tym problemem.
Jak działa błąd
Problem bezpieczeństwa, zwany BaDApprove, nie jest błędem w kodzie, ale problemem w sposobie, w jaki użytkownicy wybierają uprawnienia do transakcji w ustawieniach domyślnych. Ohayon odkrył, że gdy użytkownicy zatwierdzają określoną transakcję, domyślnie zatwierdzają również wszystkie przyszłe transakcje.
Otwiera to drzwi zdecentralizowanym aplikacjom szkodliwego oprogramowania, które wchodzą w interakcje z funduszami użytkowników bez ich wiedzy.
Ponieważ nie zostało to wcześniej rozwiązane
To, co podkreślili Ohayon i ZenGo, było znanym problemem w społeczności DeFi od lat. Powstaje zatem pytanie, dlaczego nie zostało to wcześniej rozwiązane. Dla niektórych z branży odpowiedź brzmi, że to nie tyle wada lub błąd, co zła funkcjonalność.
We wrześniu 2018 r. Jordan Randolph, przedstawiciel zdecentralizowanej giełdy Ethex, sklasyfikował problem jako średnio poważny. Jednorazowe upoważnienia do przeniesienia „prawie nieskończonej ilości tokenów ... mogą być wygodne” - napisał.
„Jednak posiadanie prawie nieskończonej liczby zatwierdzonych tokenów oznacza, że wszystkie [Twoje] tokeny mogą zostać przeniesione w ramach inteligentnego kontraktu”. Jak powiedział, wstępne ustawienie portfela sprowadza się do wyboru między wygodą a bezpieczeństwem.
Ben He, dyrektor generalny imToken, powiedział: „To nie jest błąd bezpieczeństwa, to zła konwencja dla całego ekosystemu Ethereum, że większość aplikacji Dapps / DeFi wymaga nieograniczonej liczby zezwoleń użytkowników”.
Metamask przedstawił podobną odpowiedź dotyczącą nieograniczonych uprawnień. „W rzeczywistości jest to bezpieczna funkcja, z której użytkownicy regularnie korzystają w odpowiedzialny sposób. To nie jest rodzaj błędu ani problemu ”.
Zarówno ImToken, jak i MetaMask proaktywnie dodawali gwarancje, takie jak wyskakujące komunikaty z prośbą o potwierdzenie wysłania środków i umożliwiając użytkownikom zmianę zatwierdzonej kwoty w ustawieniach zaawansowanych. Ohayon zacytował także Brave i Coinbase za ich ostrzeżenia uzupełniające ostrzeżenia Dappów.
Konieczne jest dostosowanie Dapps do głównego nurtu DeFi
„Pewne kompromisy w zakresie bezpieczeństwa, które mogły być do zaakceptowania w czasach, gdy użytkowników było niewielu i wysoce przeszkolonych technicznie, nie są już akceptowane, gdy DeFi wchodzi do głównego nurtu, pozyskując wielu technicznie słabo przeszkolonych użytkowników i zarządzając miliardami dolarów w tokenach kryptograficznych ( USD) ”, napisał w poście Alex Manuskin, badacz ZenGo.
Uważa, że jeśli kiedykolwiek kryptowaluta, którą można już handlować na platformach takich jak Bitcoin Zawodowiec stanie się głównym nurtem, należy wprowadzić odpowiednie gwarancje, aby zapobiec wykorzystywaniu nowych użytkowników. Podobny problem został podniesiony dwa tygodnie temu po flashowaniu kryptowalut, kiedy pojawił się problem handlu wyłącznikami.
Dla wielu te środki ostrożności są sprzeczne z kryptograficznym etosem decentralizacji i osobistej autonomii.
