Нашел серьезную ошибку в портфелях Dapp DeFi

Команда разработчиков продуктов для ZenGo, компании, не входящей в портфель, обнаружила недостаток, который может истощать средства пользователей практически со всех кошельков dapp. Эта ошибка безопасности была известна в течение двух лет. Ouriel Ohayon, генеральный директор ZenGo, теперь бьет тревогу, утверждая, что это представляет риск для пользователей, которые не обращаются к нему напрямую.

Как работает ошибка

Проблема безопасности, называемая BaDApprove, связана не с ошибкой кода, а с проблемой выбора пользователями разрешений транзакций в настройках по умолчанию. Ohayon обнаружил, что когда пользователи одобряют определенную транзакцию, они также одобряют все будущие транзакции по умолчанию.

Это открывает двери децентрализованным вредоносным программам, которые взаимодействуют с фондами пользователей без их ведома.

Потому что это не было решено раньше

То, на что обратили внимание Ohayon и ZenGo, уже много лет является известной проблемой в сообществе DeFi. Вопрос в том, почему это не было решено раньше. Для некоторых в отрасли ответ таков: это не столько недостаток или ошибка, сколько плохая функциональность.

В сентябре 2018 года Джордан Рэндольф, представитель Ethex, децентрализованного обмена, классифицировал проблему как среднюю серьезность. Одноразовые разрешения на перемещение «почти бесконечного количества токенов ... могут быть удобными», написал он.

«Однако наличие почти бесконечного количества утвержденных токенов означает, что все [ваши] токены могут быть переданы с умным контрактом». По его словам, набор настроек портфеля сводится к выбору между удобством и безопасностью.

Бен Хе, генеральный директор imToken, сказал: «Это не ошибка безопасности, это плохое соглашение для всей экосистемы Ethereum, что большинству приложений Dapps / DeFi требуется неограниченное одобрение пользователей».

Метамаска представила аналогичный ответ относительно неограниченных разрешений. «На самом деле это безопасная функция, которую пользователи регулярно используют ответственно. Это не ошибка или проблема ".

И ImToken, и MetaMask активно добавляли гарантии, такие как всплывающие сообщения с запросом подтверждения отправки средств и позволяли пользователям изменять утвержденную сумму в дополнительных настройках. Ohayon также процитировал Brave и Coinbase за их предупреждения, дополняющие предупреждения Dapps.

Dapps должны быть адаптированы к мейнстриму DeFi

«Определенные компромиссы в области безопасности, которые могли быть приемлемы в эпоху, когда пользователей было мало и они были высоко технически обучены, больше не приемлемы, поскольку DeFi выходит на мейнстрим, приобретая многих технически плохо обученных пользователей и управляя миллиардами долларов в криптокенах ( USD) », - написал в своем посте исследователь ZenGo Алекс Манускин.

Он считает, что если когда-либо криптовалюты, которые уже можно торговать на таких платформах, как Bitcoin Pro это станет основным направлением, должны быть обеспечены адекватные гарантии для предотвращения эксплуатации новых пользователей. Подобная проблема возникла две недели назад после крипто-вспышки, когда возникла проблема торговли выключателями.

Для многих эти меры предосторожности противоречат крипто-принципу децентрализации и личной автономии.