Un error de larga data en las Dapps DeFi aún no ha sido solucionado por la industria (actualizado)

DeFi tiene un problema de seguridad abierto. Un equipo de diseñadores de productos de ZenGo, una empresa de billeteras sin custodia, encontró un exploit que puede drenar los fondos de los usuarios de casi todas las billeteras dapp. Si bien la falla de seguridad se conoce desde hace dos años, Ouriel Ohayon, CEO de ZenGo, ha dado la voz de alarma, argumentando que representa un riesgo para los usuarios que no se ha abordado por completo.

La cuestión de la seguridad,llamado BaDApprove, no es un error de código, sino un problema con la forma en que las billeteras interactúan con los usuarios y establecen permisos de transacciones de forma predeterminada.

Al investigar varias billeteras de alto perfil, como Metamask, Opera e imToken, Ohayon descubrió que, cuando los usuarios aprueban una transacción específica, suelen aprobar también todas las transacciones futuras por defecto. Esto facilita que aplicaciones descentralizadas maliciosas interactúen con los fondos de los usuarios sin su conocimiento ni consentimiento, posiblemente robando la totalidad de sus activos.éter Tenencias de (ETH).

Ver también:Cómo las aplicaciones de Ethereum obtienen calificaciones de seguridad A+

El error está bien documentado, aunque la queja de Ohayon reaviva un conflicto seminal en el Cripto: ¿deberían las empresas de Cripto hacer lo que puedan para proteger a los usuarios o deberían los poseedores de Cripto asumir la plena responsabilidad de su riqueza en activos digitales?

El equipo de ZenGo organizó una demostración de la dapp para alertar a los usuarios sobre este posible exploit. El video muestra a un usuario que envía algunos FRT (moneda de la red de prueba) a la aplicación de intercambio fraudulenta, permitiéndole retirar dichos tokens y automatizar las transacciones. Posteriormente, la dapp BaDApprove drena el saldo completo del usuario.

Las billeteras deberían mostrar esta información en primer plano para los usuarios y tener alertas si creen que está sucediendo algo extraño.

"Es como decir: 'Al realizar esta transferencia bancaria, aceptas que el destinatario tendrá acceso completo a tu cuenta bancaria'", dijo Ohayon por Telegram. La situación se agrava porque muchas billeteras no informan a sus usuarios sobre la vigencia de estos permisos, incluso si dejan de usar la dapp.

Contactado por CoinDesk, Sunny Aggarwal, un científico investigador de Tendermint y Cosmos, ejecutó la simulación y también vio las consecuencias.

“Si las dapps de Ethereum quieren interactuar con sus tokens ERC20, primero deben solicitar aprobación para poder aumentar su número”, dijo Aggarwal en un mensaje directo. “Lo que ocurrió es que la dapp solicitó aprobar una cantidad extremadamente alta de tokens, [sin mostrar] cuántos se están aprobando”.

Aggarwal usó la popular billetera Metamask, que, según él, solo mostraba el importe de la transacción tras hacer clic en "Mostrar más detalles". "Y aun así, lo verás como 1,1579…………e+59", o en notación científica, "lo cual es muy fácil de malinterpretar y pensar accidentalmente que se trata de una aprobación de unos 1,15 tokens".

“Esto es un fallo de las billeteras”, dijo. “Las billeteras deberían mostrar esta información de forma clara y directa a los usuarios y tener alertas si detectan algún problema”.

Problema conocido

Lo que Ohayon y ZenGo han señalado es un problema conocido en la comunidad DeFi ( Finanzas descentralizadas) desde hace años. La pregunta más importante es por qué no se ha solucionado. Para algunos en el mundo de las dapps, la respuesta es que no se trata tanto de un defecto o un error, sino de una característica deficiente.

En septiembre de 2018, Jordan Randolph, representante de Ethex, una plataforma de intercambio descentralizada, describió el problema en una publicación en Medium. Las aprobaciones únicas para transferir una cantidad casi infinita de tokens pueden ser convenientes, escribió. "Sin embargo, tener una cantidad casi infinita de tokens aprobados significa que todos sus tokens están disponibles para ser transferidos por el contrato inteligente".

La configuración predeterminada de la billetera se reduce a elegir entre comodidad y seguridad, dijo. Randolph no respondió a una Request de comentarios.

Ver también: Opinión: Gracias a una mejor experiencia de usuario (UX), este año las Dapps se generalizarán

Las Dapps que solo ofrecen una opción (la aprobación de una gran cantidad de tokens) presentan una falla de seguridad grave.

En las últimas semanas, ZenGo ha planteado el problema a varias billeteras importantes y a menudo ha recibido rechazo.

“Este problema es un riesgo conocido y requiere la interacción del usuario. Ya notificamos claramente al usuario cuando accede a una dapp de terceros. Aun así, le agradecemos su informe”, declaró un representante de imToken a Tal Be'ery, cofundador de ZenGo, por Twitter.

Contactado por CoinDesk, Ben He, CEO de imToken, dijo: "No es una vulnerabilidad de seguridad, es una mala práctica para todo el ecosistema Ethereum que la mayoría de las aplicaciones dapps/DeFi Request una asignación ilimitada a los usuarios".

Para solucionar el problema, el navegador de la dapp de imToken cuenta con dos ventanas emergentes, explicó. Una aparece cuando un usuario visita la URL de la dapp por primera vez, y la segunda solicita el consentimiento del usuario antes de realizar la transacción.

"Es fundamental que los usuarios firmen las transacciones con cautela, y consideramos que este es un recordatorio adecuado y amistoso para la comunidad", afirmó, y agregó que la empresa está "puliendo nuestra interfaz de usuario para mitigar las preocupaciones".

Metamask ofreció una respuesta similar al ser consultada sobre los permisos ilimitados. "Esta es una función segura que los usuarios usan con responsabilidad. No se trata de ningún error ni problema", afirmó un miembro del equipo de soporte de MetaMask.

“No hay un problema inherente con el estándar ERC-20, pero es fundamental para permitir que los contratos inteligentes interoperen con los tokens”, dijo.

La empresa ha sido proactiva al agregar medidas de seguridad, como mensajes emergentes que piden confirmación para enviar fondos y permiten a los usuarios ajustar la suma aprobada en configuraciones avanzadas.

Ver también:Estados Unidos debería usar monedas estables para pagos de emergencia por el coronavirus

Además, según el representante, Metamask tiene “planes para dar a los usuarios aún más control”, como funciones que faciliten la revocación de esta autorización.

Ohayon también citó a Brave y Coinbase por mostrar una “advertencia significativa”, aunque esto no elimina el riesgo de que actores maliciosos puedan explotar a los usuarios de dapp.

“Algunas vulnerabilidades de seguridad que podrían haber sido aceptables en una época en la que los usuarios eran escasos y altamente técnicos no lo son ahora que DeFi se está popularizando, adquiriendo muchos usuarios sin conocimientos técnicos y gestionando tokens Cripto por miles de millones de dólares”, escribió Alex Manuskin, investigador de ZenGo, en una entrada de blog.

Él cree que, para que las Cripto se conviertan en algo común, será necesario implementar medidas de protección adecuadas para garantizar que los nuevos usuarios no sean explotados.

Un problema similar se planteó hace dos semanas después del flash de Cripto , cuando se planteó la cuestión del comercio “disyuntoresPara muchos, estas precauciones contradicen la filosofía Cripto de la descentralización y la autonomía personal.

ACTUALIZACIÓN: En respuesta a la investigación de ZenGo, el representante de imToken, Philipp Seifert, se puso en contacto para decir que la empresa agregará notificaciones push para las transacciones y una forma de editar las asignaciones.

"Si bien esto no impide que los usuarios establezcan asignaciones ilimitadas, estamos seguros de que ayuda a tomar decisiones informadas", según un Publicación de imToken Medium.