DeFi Dapp cüzdanlarında ciddi bir hata bulundu

Saklama amaçlı olmayan bir cüzdan şirketi olan ZenGo için bir ürün tasarımcıları ekibi, neredeyse tüm dapp cüzdanlarından kullanıcı fonlarını boşaltabilecek bir kusur keşfetti. Bu güvenlik hatası iki yıldır biliniyor. ZenGo'nun CEO'su Ouriel Ohayon, bununla doğrudan yüzleşmeyen kullanıcılar için bir risk oluşturduğunu iddia ederek şimdi alarm veriyor.

Hata nasıl çalışır

BaDApprove olarak adlandırılan güvenlik sorunu, bir kod hatası değil, kullanıcıların varsayılan ayarlarda işlem izinlerini nasıl seçtiğiyle ilgili bir sorundur. Ohayon, kullanıcılar belirli bir işlemi onayladığında, varsayılan olarak gelecekteki tüm işlemleri de onayladıklarını buldu.

Bu, kullanıcıların fonlarıyla onların bilgisi olmadan etkileşime giren merkezi olmayan kötü amaçlı yazılım uygulamalarının kapısını açar.

Çünkü daha önce tamir edilmedi

Ohayon ve ZenGo'nun vurguladığı şey, DeFi topluluğunda yıllardır bilinen bir problem olmuştur. O halde soru neden daha önce çözülmediğidir. Sektördeki bazıları için cevap, bunun kötü işlevsellik kadar bir kusur veya hata olmamasıdır.

Eylül 2018'de, merkezi olmayan bir borsa olan Ethex'in bir temsilcisi olan Jordan Randolph, sorunu orta şiddette olarak sınıflandırdı. Bir kerelik izinler "neredeyse sonsuz miktarda jeton ... uygun olabilir" diye yazdı.

"Bununla birlikte, neredeyse sonsuz sayıda onaylanmış tokene sahip olmak, tüm tokenlerinizin akıllı bir sözleşme ile aktarılabileceği anlamına geliyor." Cüzdan ön ayarı daha sonra rahatlık ve güvenlik arasında bir seçim yapıyor, dedi.

İmToken CEO'su Ben He, "Bu bir güvenlik hatası değil, çoğu Dapps / DeFi uygulamasının sınırsız kullanıcı onayı gerektirmesi tüm Ethereum ekosistemi için kötü bir kongre." Dedi.

Metamask, sınırsız izinlerle ilgili benzer bir yanıt verdi. "Bu aslında, kullanıcıların düzenli olarak sorumlu bir şekilde kullandıkları güvenli bir özellik. Bu bir tür hata ya da sorun değil ”.

Hem ImToken hem de MetaMask, fon göndermek için onay isteyen açılır mesajlar ve kullanıcıların gelişmiş ayarlarda onaylanan miktarı değiştirmesine izin verme gibi garantiler eklemede proaktif olmuştur. Ohayon ayrıca, Dapps'lara tamamlayıcı uyarıları için Brave ve Coinbase'den alıntı yaptı.

Dapp'lerin ana akım DeFi'ye uyarlanması gerekiyor

“Kullanıcıların az olduğu ve yüksek düzeyde teknik eğitim aldığı çağda kabul edilebilir olabilecek bazı güvenlik takasları, DeFi ana akım haline geldiğinden, birçok teknik açıdan kötü eğitimli kullanıcı elde ettiğinden ve milyarlarca dolar değerinde kripto tokenleri yönettiğinden artık kabul edilemez ( USD), ”ZenGo araştırmacısı Alex Manuskin bir gönderide yazdı.

Kripto para biriminin zaten mümkün olan platformlar gibi platformlarda işlem yapabileceğine inanıyor. Bitcoin Uzmanı yaygınlaşacak, yeni kullanıcıların sömürülmemesi için yeterli koruma önlemleri alınmalıdır. Benzer bir sorun, iki hafta önce kripto parasından sonra, devre kesici ticareti sorunu ortaya çıktığında ortaya çıktı.

Birçoğu için bu önlemler, ademi merkeziyetçilik ve kişisel özerklik kripto değerlerine aykırıdır.