na kripto
Skupina oblikovalcev izdelkov za podjetje ZenGo, ki ni skrbniško denarnico, je odkrila napako, ki bi uporabnikom lahko odvzela sredstva iz skoraj vseh dapp denarnic. Ta varnostna napaka je znana že dve leti. Ouriel Ohayon, izvršni direktor podjetja ZenGo, zdaj sproži alarm in trdi, da predstavlja tveganje za uporabnike, ki se s tem ne soočajo neposredno.
Kako deluje napaka
Varnostna težava, imenovana BaDApprove, ni napaka kode, temveč težava pri izbiri dovoljenj za transakcije v privzetih nastavitvah. Ohayon je ugotovil, da ko uporabniki odobrijo določeno transakcijo, privzeto odobrijo tudi vse prihodnje transakcije.
To odpira vrata za decentralizirane zlonamerne programe, ki brez njihove vednosti komunicirajo s sredstvi uporabnikov.
Ker še ni bilo popravljeno
Kar sta poudarila Ohayon in ZenGo, je že vrsto let znana težava v skupnosti DeFi. Vprašanje je torej, zakaj še ni bilo rešeno. Za nekatere v industriji je odgovor, da to ni toliko napaka ali napaka kot slaba funkcionalnost.
Septembra 2018 je Jordan Randolph, predstavnik decentralizirane borze Ethex, problem opredelil kot srednje resnega. Enkratna dovoljenja za premikanje "skoraj neskončne količine žetonov ... so lahko priročna," je zapisal.
"Vendar imeti skoraj neskončno število odobrenih žetonov pomeni, da bi lahko vse [vaše] žetone prenesli s pametno pogodbo." Prednastavljena denarnica se nato odloči za izbiro med udobjem in varnostjo, je dejal.
Ben He, izvršni direktor imToken-a, je dejal: "Ne gre za varnostno napako, temveč za celoten ekosistem Ethereum, ker večina aplikacij Dapps / DeFi zahteva neomejeno odobritev uporabnikov."
Podobno se je Metamask odzval glede neomejenih dovoljenj. »To je pravzaprav varna lastnost, ki jo uporabniki redno uporabljajo odgovorno. Ne gre za kakšno napako ali težavo ”.
Tako ImToken kot MetaMask sta proaktivno dodajala jamstva, na primer pojavna sporočila, ki prosijo za potrditev pošiljanja sredstev, in omogočajo uporabnikom, da v naprednih nastavitvah spremenijo odobreni znesek. Ohayon je Brave in Coinbase navedel tudi zaradi njunih dopolnilnih opozoril Dappsovim.
Dapps je treba prilagoditi glavnemu DeFi-ju
»Nekateri kompromisi glede varnosti, ki so bili morda sprejemljivi v dobi, ko je bilo uporabnikov malo in so visoko tehnično usposobljeni, niso več sprejemljivi, saj DeFi prevladuje, pridobiva veliko tehnično slabo usposobljenih uporabnikov in upravlja kriptožetone v vrednosti milijard dolarjev ( USD), «je v prispevku zapisal Alex Manuskin, raziskovalec ZenGo.
Verjame, da če kdaj s kriptovaluto, s katero je že mogoče trgovati na platformah, kot je BitcoinPro postalo splošno, je treba vzpostaviti ustrezne zaščitne ukrepe, da se novi uporabniki ne bodo izkoriščali. Podoben problem se je pojavil pred dvema tednoma po kripto bliskavici, ko se je pojavilo vprašanje trgovanja z odklopniki.
Za mnoge so ti previdnostni ukrepi v nasprotju s kripto etosom decentralizacije in osebne avtonomije.
