на крипто
Тим дизајнера производа за компанију ЗенГо, која није старатељство, пронашао је ману која би могла одвести корисничка средства из готово било ког дапп новчаника. Ова сигурносна грешка позната је већ две године. Оуриел Охаион, извршни директор ЗенГо-а, сада оглашава аларм уз тврдњу да представља ризик за кориснике који се с тим директно не суочавају.
Како грешка ради
Сигурносни проблем, назван БаДАппрове, није грешка у коду, већ проблем у начину на који корисници бирају дозволе за трансакције у подразумеваним подешавањима. Охаион је открио да када корисници одобре одређену трансакцију, они такође подразумевано одобравају све будуће трансакције.
Ово отвара врата за децентрализоване злонамерне програме који комуницирају са средствима корисника без њиховог знања.
Јер то раније није било поправљено
Оно што су истакли Охаион и ЗенГо годинама је познат проблем у ДеФи заједници. Питање је, дакле, зашто то раније није решено. За неке у индустрији одговор је да то није толико мана или грешка колико лоша функционалност.
У септембру 2018. године Јордан Рандолпх, представник Етхек-а, децентрализоване берзе, категорисао је проблем као средњу тежину. Једнократне дозволе за премештање „готово бесконачне количине токена ... могу бити згодне“, написао је.
„Међутим, поседовање готово бесконачног броја одобрених токена значи да би сви [ваши] токени могли да се преносе паметним уговором.“ Унапред подешени новчаник своди се на избор између погодности и сигурности, рекао је.
Бен Хе, извршни директор имТокен-а, рекао је: "То није безбедносна грешка, већ лоша конвенција за цео Етхереум екосистем да већина апликација Даппс / ДеФи захтева неограничено одобрење корисника."
Метамаск је представио сличан одговор у вези са неограниченим дозволама. „Ово је заправо сигурна карактеристика коју корисници редовно користе одговорно. То није нека врста грешке или проблема ”.
И ИмТокен и МетаМаск су проактивни у додавању гаранција, попут искачућих порука које траже потврду за слање средстава и омогућавају корисницима да промене одобрени износ у напредним подешавањима. Охаион је такође цитирао Браве и Цоинбасе због додатних упозорења упозорењима Даппс-а.
Даппс треба прилагодити главном ДеФи-у
„Неки компромиси у вези са сигурношћу који су можда били прихватљиви у ери када је корисника било мало и технички високо обучени више нису прихватљиви јер ДеФи постаје уобичајен, стицање многих технички лоше обучених корисника и управљање крипто токенима вредним милијардама долара УСД) “, написао је у посту Алек Манускин, истраживач ЗенГо-а.
Верује да ће икада криптовалутом којом је већ могуће трговати на платформама као што је Битцоин Про постаће уобичајени, мораће се успоставити одговарајуће заштитне мере како нови корисници не би били искоришћени. Сличан проблем покренут је пре две недеље након крипто блица, када се појавило питање трговачких прекидача.
За многе су ове мере предострожности у супротности са крипто етосом децентрализације и личне аутономије.
