na kryptomene
Tím produktových dizajnérov spoločnosti ZenGo, ktorá nie je uschovávateľnou peňaženkou, objavil chybu, ktorá by mohla vyčerpať finančné prostriedky používateľov z takmer akejkoľvek peňaženky dapp. Táto bezpečnostná chyba je známa už dva roky. Ouriel Ohayon, generálny riaditeľ spoločnosti ZenGo, teraz bije na poplach a tvrdí, že predstavuje riziko pre používateľov, ktorí mu priamo nečelia.
Ako chyba funguje
Bezpečnostný problém s názvom BaDApprove nie je chybou kódu, ale problémom v tom, ako používatelia vyberajú transakčné povolenia v predvolenom nastavení. Spoločnosť Ohayon zistila, že keď používatelia schvália konkrétnu transakciu, predvolene schvaľujú aj všetky budúce transakcie.
To otvára dvere decentralizovaným malwarovým aplikáciám, ktoré bez ich vedomia interagujú s finančnými prostriedkami používateľov.
Pretože to nebolo predtým opravené
To, čo Ohayon a ZenGo zdôraznili, je už roky známym problémom v komunite DeFi. Otázkou teda je, prečo sa to doteraz nevyriešilo. Pre niektorých v odbore je odpoveďou, že nejde ani tak o chybu alebo chybu, ako skôr o zlú funkčnosť.
V septembri 2018 Jordan Randolph, zástupca decentralizovanej burzy Ethex, kategorizoval problém ako stredne závažný. Jednorazové povolenia na presun „takmer nekonečného množstva tokenov ... môžu byť pohodlné,“ napísal.
„Avšak mať takmer nekonečný počet schválených tokenov znamená, že všetky [vaše] tokeny je možné previesť pomocou inteligentnej zmluvy.“ Predvoľba peňaženky potom podľa neho spočíva v výbere medzi pohodlím a bezpečnosťou.
Ben He, generálny riaditeľ spoločnosti imToken, uviedol: „Nie je to bezpečnostná chyba, je to zlá konvencia pre celý ekosystém Ethereum, pretože väčšina aplikácií Dapps / DeFi vyžaduje neobmedzené súhlasy používateľov.“
Metamask podobne odpovedal aj na neobmedzené povolenia. „Toto je vlastne bezpečná funkcia, ktorú používatelia pravidelne a zodpovedne používajú. Nie je to nejaký druh chyby alebo problému. “
ImToken aj MetaMask boli proaktívni pri pridávaní záruk, napríklad vyskakovacích správ požadujúcich potvrdenie o zaslaní prostriedkov a umožňujúcich používateľom meniť schválenú sumu v rozšírených nastaveniach. Ohayon tiež citoval Brave a Coinbase pre ich doplnkové varovania k varovaniam Dapps.
Dappy je potrebné prispôsobiť bežnému DeFi
„Niektoré kompromisy v oblasti bezpečnosti, ktoré mohli byť prijateľné v ére, keď bolo používateľov málo a vysoko technicky vyškolení, už nie sú prijateľné, pretože DeFi sa stáva mainstreamom, získaním mnohých technicky zle vyškolených používateľov a správou kryptomien za miliardy dolárov ( USD), ”napísal v príspevku Alex Manuskin, výskumník ZenGo.
Verí, že ak vôbec niekedy bude kryptomena, s ktorou je už možné obchodovať na platformách ako napr BitcoinPro sa stanú hlavným prúdom, musia sa zaviesť primerané záruky, aby sa zabránilo zneužívaniu nových používateľov. Podobný problém nastal pred dvoma týždňami po krypto blesku, keď sa objavila otázka obchodovania s ističmi.
Pre mnohých sú tieto preventívne opatrenia v rozpore s krypto étosom decentralizácie a osobnej autonómie.
