พบข้อผิดพลาดร้ายแรงในกระเป๋าเงิน DeFi Dapp

ทีมนักออกแบบผลิตภัณฑ์ของ ZenGo ซึ่งเป็น บริษัท กระเป๋าเงินที่ไม่ได้รับการคุ้มครองได้ค้นพบข้อบกพร่องที่สามารถระบายเงินของผู้ใช้จากกระเป๋าเงิน dapp เกือบทุกประเภท ข้อบกพร่องด้านความปลอดภัยนี้ทราบมาสองปีแล้ว Ouriel Ohayon ซีอีโอของ ZenGo ส่งเสียงเตือนโดยอ้างว่ามีความเสี่ยงต่อผู้ใช้ที่ไม่ได้เผชิญหน้าโดยตรง

บั๊กทำงานอย่างไร

ปัญหาด้านความปลอดภัยที่เรียกว่า BaDApprove ไม่ใช่ข้อผิดพลาดของรหัส แต่เป็นปัญหาในการที่ผู้ใช้เลือกสิทธิ์การทำธุรกรรมในการตั้งค่าเริ่มต้น Ohayon พบว่าเมื่อผู้ใช้อนุมัติธุรกรรมบางรายการพวกเขาจะอนุมัติธุรกรรมในอนาคตทั้งหมดโดยค่าเริ่มต้น

นี่เป็นการเปิดประตูสำหรับแอปพลิเคชันมัลแวร์แบบกระจายอำนาจที่โต้ตอบกับเงินของผู้ใช้โดยที่พวกเขาไม่รู้ตัว

เพราะไม่ได้รับการแก้ไขมาก่อน

สิ่งที่ Ohayon และ ZenGo ให้ความสำคัญเป็นปัญหาที่ทราบกันดีในชุมชน DeFi มานานหลายปี คำถามคือทำไมถึงไม่ได้รับการแก้ไขมาก่อน สำหรับบางคนในอุตสาหกรรมคำตอบก็คือไม่มีข้อบกพร่องหรือข้อบกพร่องมากเท่ากับการทำงานที่ไม่ดี

ในเดือนกันยายน 2018 Jordan Randolph ตัวแทนของ Ethex ซึ่งเป็น บริษัท แลกเปลี่ยนแบบกระจายอำนาจได้จัดประเภทของปัญหาว่ามีความรุนแรงปานกลาง การอนุญาตเพียงครั้งเดียวในการย้าย "โทเค็นจำนวนเกือบไม่สิ้นสุด ... สามารถทำได้สะดวก" เขาเขียน

"อย่างไรก็ตามการมีโทเค็นที่ได้รับอนุมัติจำนวนเกือบไม่สิ้นสุดหมายความว่าโทเค็น [ของคุณ] ทั้งหมดสามารถโอนได้ด้วยสัญญาอัจฉริยะ" จากนั้นกระเป๋าสตางค์ที่ตั้งไว้ล่วงหน้าจะเป็นตัวเลือกระหว่างความสะดวกและความปลอดภัยเขากล่าว

Ben He ซีอีโอของ imToken กล่าวว่า: "มันไม่ใช่ข้อบกพร่องด้านความปลอดภัย แต่เป็นการประชุมที่ไม่ดีสำหรับระบบนิเวศของ Ethereum ทั้งหมดที่แอป Dapps / DeFi ส่วนใหญ่ต้องการการอนุมัติจากผู้ใช้อย่างไม่ จำกัด "

Metamask ตอบสนองคล้าย ๆ กันเกี่ยวกับสิทธิ์ที่ไม่ จำกัด “ นี่เป็นคุณลักษณะที่ปลอดภัยที่ผู้ใช้ใช้งานอย่างรับผิดชอบเป็นประจำ ไม่ใช่ข้อบกพร่องหรือปัญหาบางอย่าง”

ทั้ง ImToken และ MetaMask ได้รับการสนับสนุนเชิงรุกในการเพิ่มการค้ำประกันเช่นข้อความป๊อปอัปที่ขอให้ยืนยันการส่งเงินและอนุญาตให้ผู้ใช้เปลี่ยนจำนวนเงินที่อนุมัติในการตั้งค่าขั้นสูง Ohayon ยังอ้างถึง Brave และ Coinbase สำหรับคำเตือนเพิ่มเติมสำหรับ Dapps

Dapps จำเป็นต้องปรับให้เข้ากับ DeFi กระแสหลัก

“ การแลกเปลี่ยนความปลอดภัยบางอย่างที่อาจได้รับการยอมรับในยุคที่ผู้ใช้มีน้อยและได้รับการฝึกฝนทางเทคนิคอย่างสูงนั้นไม่สามารถยอมรับได้อีกต่อไปเนื่องจาก DeFi เป็นกระแสหลักโดยได้รับผู้ใช้ที่ไม่ได้รับการฝึกฝนทางเทคนิคจำนวนมากและจัดการโทเค็นการเข้ารหัสลับมูลค่าหลายพันล้าน USD)” Alex Manuskin นักวิจัยของ ZenGo เขียนไว้ในโพสต์

เขาเชื่อว่าหากเป็นสกุลเงินดิจิทัลที่สามารถซื้อขายได้บนแพลตฟอร์มเช่น บิทคอยน์ โปร จะกลายเป็นกระแสหลักต้องมีการค้ำประกันอย่างเพียงพอเพื่อไม่ให้ผู้ใช้รายใหม่ถูกเอารัดเอาเปรียบ ปัญหาที่คล้ายกันนี้เกิดขึ้นเมื่อสองสัปดาห์ก่อนหลังจากเกิดเหตุการณ์ crypto flash เมื่อเกิดปัญหาเรื่องเบรกเกอร์วงจรการซื้อขาย

สำหรับหลาย ๆ คนข้อควรระวังเหล่านี้สวนทางกับหลักจริยธรรมของการกระจายอำนาจและความเป็นอิสระส่วนบุคคล