ZenGo, de provider van cryptocurrency-portemonnees, heeft de beveiligingsfout aangetoond met een testnet
Decentralized Finance (DeFi) heeft het afgelopen jaar veel grip gekregen. Hoewel de totale waarde van de fondsen opgesloten in DeFi is gehalveerd van de recordbrekende $ 1 miljard op deze markt, en het is nog steeds een van de belangrijkste crypto-verhalen van vandaag. Dit DeFi-model werkt met DApps (Decentralized Applications), die zijn ontworpen om te werken met de DeFi-services.
De provider van cryptocurrency-portemonnees, ZenGo, heeft nu aangetoond dat er een grote kwetsbaarheid is die de meeste gedecentraliseerde applicatie (DApp) -portefeuilles treft. Er is een testnet aan gebouwd tonen deze beveiligingsfout. Het probleem treedt in feite op wanneer u een DApp probeert te verbinden met een digitale portemonnee.
De gebruiker wordt gevraagd om toestemming te geven aan de DApp voor interactie met de portemonnee van de gebruiker. Op het eerste gezicht heeft de gebruiker misschien toegang gegeven tot een specifieke transactie en bedrag, maar in werkelijkheid verlenen DApps-gebruikers feitelijk toegang tot AL hun holdings in dat token.
Als de DApp vatbaar is voor beveiligingsproblemen of wordt gebruikt door snode spelers, kunnen ze gemakkelijk gebruik maken van deze bevoorrechte toegang om al het geld van de gebruiker te stelen. Volgens ZenGo vertoont bijna elke DApp deze kwetsbaarheid, waarbij de slimme contracten van de DApp volledige controle geven over het geld van de gebruikers.
Om deze kwetsbaarheid te demonstreren, creëerde ZenGo een testnet met een frauduleuze DApp-demo genaamd baDAPBewijzen. De gebruiker kan een portemonnee maken met een testnet FRT Munten. Nadat je de portemonnee hebt ingesteld, kun je communiceren met baDAPProve door een paar FRT's naar de rogue swapping DApp te sturen. Verbazingwekkend genoeg draag je niet alleen de FRT's over die je hebt afgesproken om te ruilen, maar het hele saldo van je portemonnee is weg!
Verbazingwekkend genoeg is de beveiligingsfout niet nieuw. De Ethereum-gemeenschap van ontwikkelaars kent dit beveiligingslek al jaren, maar er is niet genoeg aan gedaan om er bewustzijn over te creëren of het probleem aan te pakken. En zelfs nu doen de portemonnee-providers lang niet genoeg om de gebruikers op de hoogte te stellen van deze zwakte.
ZenGo analyseerde wat de huidige populaire portemonnees deden en ontdekte dat de meeste van hen deze kwetsbaarheid niet aanpakken. Er zijn een paar uitzonderingen - Dapper en Metamask portefeuilles geven een zinvolle waarschuwing aan gebruikers voordat ze de functie goedkeuren () aanroepen en laten gebruikers de goedgekeurde som aanpassen onder geavanceerde instellingen. Coinbase portemonnee knippert een soortgelijke waarschuwing voor gebruikers. Opera, Imtoken & Vertrouw portemonnee werden benaderd door ZenGo, maar alleen de laatste heeft besloten om hun portemonnee te upgraden naar aanleiding van deze bevindingen.
De crypto-ruimte is niet alleen meer de kracht van de technisch onderlegde. Aangezien DeFi de mainstream raakt, moeten de beveiligingsrisico's onmiddellijk worden aangepakt om een vertrouwensfactor te creëren. ZenGo is van plan binnenkort een gedetailleerd technisch blog te publiceren adres de beveiligingskwetsbaarheid. In de tussentijd kunt u met deze derde partij controleren of u bent blootgesteld aan het baDAPProve-probleem openbare tool.
