em criptografia
Uma equipe de designers de produtos da ZenGo, uma empresa sem portfólio, descobriu uma falha que pode drenar os recursos dos usuários de quase todas as carteiras dapp. Esse bug de segurança é conhecido há dois anos. Ouriel Ohayon, CEO da ZenGo, agora está soando o alarme alegando que isso representa um risco para os usuários que não o enfrentam diretamente.
Como o bug funciona
O problema de segurança, chamado BaDApprove, não é um bug de código, mas um problema na maneira como os usuários selecionam permissões de transação nas configurações padrão. Ohayon descobriu que, quando os usuários aprovam uma transação específica, eles também estão aprovando todas as transações futuras por padrão.
Isso abre as portas para aplicativos de malware descentralizados que interagem com os fundos dos usuários sem seu conhecimento.
Porque não foi resolvido antes
O que Ohayon e ZenGo destacaram é um problema conhecido na comunidade DeFi há anos. A questão é, então, por que não foi resolvido antes. Para alguns na indústria, a resposta é que não é tanto uma falha ou um bug, mas uma funcionalidade ruim.
Em setembro de 2018, Jordan Randolph, representante da Ethex, uma troca descentralizada, classificou o problema como de gravidade média. Autorizações pontuais para mover "uma quantidade quase infinita de tokens ... podem ser convenientes", escreveu ele.
"No entanto, ter um número quase infinito de tokens aprovados significa que todos os seus tokens podem ser transferidos com um contrato inteligente". O portfólio predefinido se resume a uma escolha entre conveniência e segurança, disse ele.
Ben He, CEO da imToken, disse: "Não é um bug de segurança, é uma péssima convenção para todo o ecossistema Ethereum de que a maioria dos aplicativos Dapps / DeFi exige aprovações ilimitadas do usuário".
Metamask apresentou uma resposta semelhante em relação a autorizações ilimitadas. “Este é realmente um recurso seguro que os usuários usam regularmente com responsabilidade. Não é um tipo de bug ou problema. "
O ImToken e o MetaMask foram proativos ao adicionar garantias, como mensagens pop-up solicitando confirmação de envio de fundos e permitindo que os usuários alterem o valor aprovado em configurações avançadas. Ohayon também citou Brave e Coinbase por seus avisos complementares aos dos Dapps.
Dapps precisam ser adaptados a um DeFi convencional
"Certos compromissos de segurança que podem ter sido aceitáveis em uma época em que os usuários eram poucos e altamente treinados tecnicamente não são mais aceitáveis à medida que a DeFi se torna popular, adquirindo muitos usuários tecnicamente mal treinados e gerenciando bilhões de dólares em tokens de criptografia ( USD) ”, escreveu Alex Manuskin, pesquisador do ZenGo, em um post.
Ele acredita que, se é que a criptomoeda já é possível comercializar em plataformas como Bitcoin Pro se tornar mainstream, garantias adequadas devem ser postas em prática para impedir que novos usuários sejam explorados. Um problema semelhante foi levantado há duas semanas após o flash criptográfico, quando surgiu o problema do comércio de disjuntores.
Para muitos, essas precauções são contrárias ao ethos criptográfico da descentralização e autonomia pessoal.
