på krypto
Ett team av produktdesigners för ZenGo, ett plånboksföretag som inte är vårdnadshavare, har upptäckt en brist som kan tömma användarens medel från nästan alla dappplånböcker. Det här säkerhetsfelet har varit känt i två år. Ouriel Ohayon, VD för ZenGo, larmar nu och hävdar att det utgör en risk för användare som inte möter det direkt.
Hur felet fungerar
Säkerhetsproblemet, kallat BaDApprove, är inte ett kodfel utan ett problem i hur användare väljer transaktionstillstånd i standardinställningarna. Ohayon fann att när användare godkänner en specifik transaktion, godkänner de också alla framtida transaktioner som standard.
Detta öppnar dörren för decentraliserade skadliga program som interagerar med användarnas medel utan deras vetskap.
Eftersom det inte har fixats förut
Vad Ohayon och ZenGo har lyft fram har varit ett känt problem i DeFi-samhället i flera år. Frågan är alltså varför det inte har lösts tidigare. För vissa i branschen är svaret att det inte är så mycket en brist eller fel som dålig funktionalitet.
I september 2018 kategoriserade Jordan Randolph, en företrädare för Ethex, ett decentraliserat utbyte, problemet som medelstort. Engångstillstånd för att flytta "en nästan oändlig mängd tokens ... kan vara bekvämt", skrev han.
"Att ha ett nästan oändligt antal godkända tokens innebär dock att alla [dina] tokens kan överföras med ett smart kontrakt." Plånboksförinställningen kommer då till valet mellan bekvämlighet och säkerhet, sa han.
Ben He, VD för imToken, sa: "Det är inte ett säkerhetsfel, det är en dålig konvention för hela Ethereums ekosystem att de flesta Dapps / DeFi-appar kräver obegränsat användargodkännande."
Metamask gjorde ett liknande svar angående obegränsade behörigheter. ”Detta är faktiskt en säker funktion som användarna regelbundet använder ansvarsfullt. Det är inte något slags fel eller problem ”.
Både ImToken och MetaMask har varit proaktiva när det gäller att lägga till garantier, till exempel popup-meddelanden som ber om bekräftelse för att skicka pengar och låta användare ändra det godkända beloppet i avancerade inställningar. Ohayon citerade också Brave och Coinbase för deras kompletterande varningar till Dapps.
Dapps måste anpassas till mainstream DeFi
”Vissa säkerhetsavvägningar som kan ha varit acceptabla under den tid då användarna var få och högt tekniskt utbildade är inte längre acceptabla eftersom DeFi går på vanligt sätt, förvärvar många tekniskt dåligt utbildade användare och hanterar kryptotoken till ett värde av miljarder dollar ( USD), ”skrev Alex Manuskin, ZenGo-forskare i ett inlägg.
Han tror att om någonsin den kryptovaluta som redan är möjlig att handla på plattformar som Bitcoin Pro kommer att bli mainstream måste adekvata skyddsåtgärder införas så att nya användare inte utnyttjas. En liknande fråga togs upp för två veckor sedan efter kryptoblixen, när frågan om brytare för handel uppstod.
För många strider dessa försiktighetsåtgärder mot kryptoset för decentralisering och personlig autonomi.
