Trovato grave bug nei portafogli delle Dapp DeFi

Un team di progettisti di prodotti per ZenGo, una società non affidataria di portafogli, ha scoperto una falla in grado di drenare i fondi degli utenti da quasi tutti i portafogli dapp. Tale bug nella sicurezza è noto da due anni. Ouriel Ohayon, CEO di ZenGo, sta ora lanciando l’allarme sostenendo che esso rappresenti un rischio per gli utenti che non lo affrontino direttamente.

Come funziona il bug

Il problema di sicurezza, chiamato BaDApprove, non è un bug di codice ma un problema nel modo in cui gli utenti selezionano le autorizzazioni di transazione nelle impostazioni predefinite. Ohayon ha scoperto che quando gli utenti approvano una transazione specifica, stanno anche approvando tutte le transazioni future come impostazione predefinita.

Questo apre le porte alle applicazioni malware decentralizzate che interagiscono con i fondi degli utenti a loro insaputa.

Perché non è stato risolto prima

Ciò che Ohayon e ZenGo hanno evidenziato è stato per anni un problema noto nella comunità DeFi. La domanda è, allora, perché non è stato risolto prima. Per alcuni del settore, la risposta è che non è tanto un difetto o un bug quanto una cattiva funzionalità.

A settembre 2018, Jordan Randolph, un rappresentante di Ethex, un exchange decentralizzato, ha categorizzato il problema come di media gravità. Le autorizzazioni una tantum per spostare “una quantità quasi infinita di token… possono essere convenienti”, ha scritto.

“Tuttavia, avere un numero quasi infinito di token approvati significa che tutti i [tuoi] token potrebbero essere trasferiti con uno smart contract.” Il preset del portafoglio si riduce quindi ad una scelta tra convenienza e sicurezza, ha detto.

Ben He, CEO di imToken, ha dichiarato: “Non è un bug nella sicurezza, è una cattiva convenzione per l’intero ecosistema Ethereum che la maggior parte delle app di Dapps/DeFi richiedano approvazioni illimitate dagli utenti.”

Metamask ha presentato una risposta simile riguardo alle autorizzazioni illimitate. “Si tratta in realtà di una funzione sicura che gli utenti utilizzano regolarmente in modo responsabile. Non è una specie di bug o problema”.

Sia ImToken che MetaMask sono stati proattivi nell’aggiungere garanzie, come i messaggi pop up che chiedono conferma per l’invio di fondi e consentono agli utenti di modificare la somma approvata in impostazioni avanzate. Ohayon ha anche citato Brave e Coinbase per i loro warning complementari a quelli delle Dapp.

È necessario adeguare le Dapp ad una DeFi mainstream

“Alcuni compromessi sulla sicurezza che potrebbero essere stati accettabili nell’era in cui gli utenti erano pochi ed altamente preparati tecnicamente non sono più accettabili nel momento in cui DeFi diventa mainstream, acquisendo molti utenti poco preparati tecnicamente e gestendo token cripto per miliardi di dollari (USD)”, Alex Manuskin, ZenGo ricercatore, ha scritto in un post.

Egli crede che se mai la criptovaluta che è già possibile scambiare su piattaforme come Bitcoin Pro diventerà mainstream, dovranno essere messe in atto adeguate garanzie affinchè i nuovi utenti non vengano sfruttati. Un problema simile è stato sollevato due settimane fa dopo il crypto flash, quando è emersa la questione del trading dei “circuit breakers”.

Per molti, queste precauzioni sono in contrasto con l’ethos cripto del decentramento e dell’autonomia personale.