Natagpuan ang mga seryosong bug sa mga portfolio ng Dapp DeFi

Ang isang koponan ng mga taga-disenyo ng produkto para sa ZenGo, isang kumpanya na hindi portfolio, ay natuklasan ng isang kapintasan na maaaring maubos ang mga pondo ng mga gumagamit mula sa halos lahat ng mga dapp wallets. Ang security bug na ito ay kilala sa loob ng dalawang taon. Si Ouriel Ohayon, CEO ng ZenGo, ngayon ay pinapatunog ang alarma na nagsasabing naglalagay ito ng peligro sa mga gumagamit na hindi direktang kinakaharap nito.

Paano gumagana ang bug

Ang isyu sa seguridad, na tinatawag na BaDApprove, ay hindi isang code bug ngunit isang problema sa paraan ng mga gumagamit na pumili ng mga pahintulot sa transaksyon sa mga default na setting. Natagpuan ni Ohayon na kapag aprubahan ng mga gumagamit ang isang tiyak na transaksyon, inaprubahan din nila ang lahat ng mga hinaharap na transaksyon sa default.

Binubuksan nito ang pintuan upang desentralisado ang mga aplikasyon ng malware na nakikipag-ugnay sa mga pondo ng mga gumagamit nang walang kanilang kaalaman.

Dahil hindi pa ito nalutas noon

Ang itinampok nina Ohayon at ZenGo ay isang kilalang problema sa pamayanan ng DeFi sa loob ng maraming taon. Ang tanong ay, kung gayon, bakit hindi pa ito nalutas. Para sa ilan sa industriya, ang sagot ay hindi gaanong kapintasan o bug bilang masamang pag-andar.

Noong Setyembre 2018, si Jordan Randolph, isang kinatawan ng Ethex, isang desentralisado na palitan, ay ikinategorya ang problema bilang katamtaman na kalubhaan. Ang isang-off na pahintulot upang ilipat ang "isang halos walang hanggan na halaga ng mga token ... maaaring maginhawa," isinulat niya.

"Gayunpaman, ang pagkakaroon ng halos walang hanggan bilang ng mga naaprubahang token ay nangangahulugan na ang lahat ng [iyong] mga token ay maaaring ilipat sa isang matalinong kontrata." Ang portfolio ng preset pagkatapos ay kumukulo sa isang pagpipilian sa pagitan ng kaginhawaan at seguridad, sinabi niya.

Si Ben He, CEO ng imToken, ay nagsabi: "Ito ay hindi isang security bug, isang masamang kombensiyon para sa buong Ethereum ecosystem na karamihan sa mga Dapps / DeFi apps ay nangangailangan ng walang limitasyong pag-apruba ng gumagamit."

Inilahad ng Metamask ang isang katulad na tugon tungkol sa walang limitasyong mga pahintulot. "Ito ay talagang isang ligtas na tampok na regular na ginagamit ng mga gumagamit. Hindi ito isang uri ng bug o problema. "

Ang parehong ImToken at MetaMask ay naging aktibo sa pagdaragdag ng mga garantiya, tulad ng mga pop-up na mensahe na humihiling ng kumpirmasyon para sa pagpapadala ng mga pondo at pinapayagan ang mga gumagamit na baguhin ang inaprubahan na halaga sa mga advanced na setting. Binanggit din ni Ohayon ang Matapang at Coinbase para sa kanilang mga babala na pantulong sa mga Dapps.

Ito ay kinakailangan upang iakma ang mga Dapps sa isang pangunahing DeFi

"Ang ilang mga pag-kompromiso sa seguridad na maaaring katanggap-tanggap sa isang panahon kung ang mga gumagamit ay kakaunti at mataas na teknolohikal na sinanay ay hindi na katanggap-tanggap kapag napunta sa mainstream si DeFi, nakakakuha ng maraming mga technically hindi mahusay na sinanay na mga gumagamit at pamamahala ng bilyun-bilyong dolyar sa mga token ng crypto ( USD) ", si Alex Manuskin, tagasaliksik ng ZenGo, ay nagsulat sa isang post.

Naniniwala siya na kung kailanman ang cryptocurrency na posible upang mag-trade sa mga platform tulad Ang Bitcoin Pro ay magiging pangunahing, ang sapat na garantiya ay dapat ilagay sa lugar upang maiwasan ang mga bagong gumagamit na sinasamantala. Ang isang katulad na problema ay itinaas dalawang linggo na ang nakalilipas pagkatapos ng kredito ng crypto, nang lumitaw ang isyu ng trading breaker ng circuit.

Para sa marami, ang mga pag-iingat na ito ay tumatakbo sa mga etika ng crypto ng desentralisasyon at personal na awtonomiya.