pe cripto
O echipă de designeri de produse pentru ZenGo, o companie de portofele fără custodie, a descoperit un defect care ar putea scurge fondurile utilizatorilor din aproape orice portofel dapp. Această eroare de securitate este cunoscută de doi ani. Ouriel Ohayon, CEO ZenGo, trage acum alarma susținând că prezintă un risc pentru utilizatorii care nu se confruntă direct cu aceasta.
Cum funcționează eroarea
Problema de securitate, numită BaDApprove, nu este o eroare de cod, ci o problemă în modul în care utilizatorii selectează permisiunile de tranzacție în setările implicite. Ohayon a constatat că, atunci când utilizatorii aprobă o anumită tranzacție, aceștia aprobă în mod implicit toate tranzacțiile viitoare.
Acest lucru deschide ușa pentru aplicațiile malware descentralizate care interacționează cu fondurile utilizatorilor fără știrea lor.
Pentru că nu a fost remediată până acum
Ceea ce au evidențiat Ohayon și ZenGo a fost o problemă cunoscută în comunitatea DeFi de ani de zile. Întrebarea este, de aceea, de ce nu a fost rezolvată până acum. Pentru unii din industrie, răspunsul este că nu este atât un defect sau o eroare, cât funcționalitatea proastă.
În septembrie 2018, Jordan Randolph, un reprezentant al Ethex, un schimb descentralizat, a clasificat problema ca fiind de severitate medie. Permisiunile unice pentru a muta „o cantitate aproape infinită de jetoane ... pot fi convenabile”, a scris el.
„Cu toate acestea, a avea un număr aproape infinit de jetoane aprobate înseamnă că toate jetoanele [dvs.] ar putea fi transferate cu un contract inteligent.” Presetarea portofelului se reduce apoi la o alegere între comoditate și securitate, a spus el.
Ben He, CEO al imToken, a declarat: „Nu este un bug de securitate, este o convenție proastă pentru întregul ecosistem Ethereum că majoritatea aplicațiilor Dapps / DeFi necesită aprobări nelimitate ale utilizatorilor.”
Metamask a prezentat un răspuns similar în ceea ce privește permisiunile nelimitate. „Aceasta este de fapt o caracteristică sigură pe care utilizatorii o folosesc în mod responsabil în mod regulat. Nu este un fel de bug sau problemă ”.
Atât ImToken, cât și MetaMask au fost proactive în adăugarea de garanții, cum ar fi mesaje pop-up care solicită confirmarea trimiterii de fonduri și care permit utilizatorilor să schimbe suma aprobată în setări avansate. Ohayon a citat, de asemenea, Brave și Coinbase pentru avertismentele lor complementare față de cele ale Dapps.
Dapps trebuie să fie adaptate la DeFi mainstream
„Unele compromisuri de securitate care ar fi putut fi acceptabile în epoca în care utilizatorii erau puțini și foarte pregătiți din punct de vedere tehnic nu mai sunt acceptabili, deoarece DeFi devine obișnuit, achiziționând mulți utilizatori neinstruiți din punct de vedere tehnic și gestionând jetoane criptografice în valoare de miliarde de dolari ( USD) ", a scris Alex Manuskin, cercetător ZenGo, într-o postare.
El crede că, dacă vreodată, criptomoneda care este deja posibilă să fie tranzacționată pe platforme precum BitcoinPro vor deveni mainstream, trebuie instituite garanții adecvate pentru ca noii utilizatori să nu fie exploatați. O problemă similară a fost ridicată acum două săptămâni după flash crypto, când a apărut problema tranzacționării întrerupătoarelor.
Pentru mulți, aceste precauții sunt contrare etosului criptografic al descentralizării și autonomiei personale.
