trên tiền điện tử
Một nhóm các nhà thiết kế sản phẩm cho ZenGo, một công ty ví không giám sát, đã phát hiện ra một lỗ hổng có thể rút tiền của người dùng khỏi hầu hết mọi ví dapp. Lỗi bảo mật này đã được biết đến trong hai năm. Ouriel Ohayon, Giám đốc điều hành của ZenGo, hiện đang gióng lên hồi chuông cảnh báo rằng nó gây rủi ro cho những người dùng không trực tiếp đối mặt với nó.
Cách thức hoạt động của lỗi
Vấn đề bảo mật, được gọi là BaDApprove, không phải là lỗi mã mà là vấn đề trong cách người dùng chọn quyền giao dịch trong cài đặt mặc định. Ohayon nhận thấy rằng khi người dùng chấp thuận một giao dịch cụ thể, họ cũng đang phê duyệt tất cả các giao dịch trong tương lai theo mặc định.
Điều này mở ra cánh cửa cho các ứng dụng phần mềm độc hại phi tập trung tương tác với tiền của người dùng mà họ không biết.
Vì nó chưa được sửa trước đây
Những gì Ohayon và ZenGo đã nêu bật đã là một vấn đề được biết đến trong cộng đồng DeFi trong nhiều năm. Câu hỏi đặt ra là tại sao nó vẫn chưa được sửa trước đây. Đối với một số người trong ngành, câu trả lời là nó không quá nhiều sai sót hoặc lỗi như chức năng tồi.
Vào tháng 2018 năm XNUMX, Jordan Randolph, đại diện của Ethex, một sàn giao dịch phi tập trung, đã phân loại vấn đề là ở mức độ nghiêm trọng trung bình. Quyền một lần để di chuyển "một số lượng gần như vô hạn mã thông báo ... có thể thuận tiện", ông viết.
"Tuy nhiên, việc có số lượng mã thông báo được chấp thuận gần như vô hạn có nghĩa là tất cả mã thông báo [của bạn] có thể được chuyển bằng một hợp đồng thông minh." Sau đó, cài đặt sẵn của ví đi đến sự lựa chọn giữa sự tiện lợi và bảo mật, ông nói.
Ben He, Giám đốc điều hành của imToken, cho biết: "Đó không phải là một lỗi bảo mật, đó là một quy ước tồi cho toàn bộ hệ sinh thái Ethereum rằng hầu hết các ứng dụng Dapps / DeFi yêu cầu sự chấp thuận của người dùng không giới hạn."
Metamask đã đưa ra phản hồi tương tự về quyền không giới hạn. “Đây thực sự là một tính năng an toàn mà người dùng thường xuyên sử dụng có trách nhiệm. Nó không phải là một loại lỗi hay vấn đề nào đó ”.
Cả ImToken và MetaMask đã chủ động trong việc bổ sung đảm bảo, chẳng hạn như thông báo bật lên yêu cầu xác nhận để gửi tiền và cho phép người dùng thay đổi số tiền được chấp thuận trong cài đặt nâng cao. Ohayon cũng trích dẫn Brave và Coinbase về các cảnh báo bổ sung của họ đối với Dapps.
Dapps cần được điều chỉnh cho phù hợp với DeFi chính thống
“Một số đánh đổi bảo mật có thể được chấp nhận trong thời đại mà người dùng còn ít và được đào tạo kỹ thuật cao không còn được chấp nhận vì DeFi trở thành xu hướng chủ đạo, thu hút nhiều người dùng không được đào tạo về kỹ thuật và quản lý mã thông báo tiền điện tử trị giá hàng tỷ đô la USD), ”Alex Manuskin, nhà nghiên cứu ZenGo, đã viết trong một bài đăng.
Anh ấy tin rằng nếu tiền điện tử đã có thể giao dịch trên các nền tảng như Bitcoin chuyên nghiệp sẽ trở thành xu hướng chủ đạo, các đảm bảo đầy đủ phải được đưa ra để người dùng mới không bị lợi dụng. Một vấn đề tương tự đã được nêu ra hai tuần trước sau khi tiền điện tử chớp nhoáng, khi vấn đề về bộ ngắt mạch giao dịch phát sinh.
Đối với nhiều người, những biện pháp phòng ngừa này đi ngược lại đặc tính của tiền điện tử là phân quyền và tự chủ cá nhân.
