Ang Long-Festering DeFi Dapp Bug Hindi Pa rin Naayos ng Industriya (Na-update)

Ang DeFi ay may bukas na isyu sa seguridad. Ang isang pangkat ng mga taga-disenyo ng produkto para sa ZenGo, isang noncustodial wallet na kumpanya, ay nakahanap ng pagsasamantalang makakaubos ng mga pondo ng mga user mula sa halos lahat ng mga wallet ng dapp. Habang ang kapintasan sa seguridad ay kilala sa loob ng dalawang taon, si Ouriel Ohayon, CEO ng ZenGo, ay nagpapatunog ng alarma, na sinasabing ang kapintasan ay nagdudulot ng panganib sa mga user na hindi pa ganap na natugunan.

Ang isyu sa seguridad, pinangalanang BaDApprove, ay hindi isang code bug ngunit isang problema sa kung paano nakikipag-ugnayan ang mga wallet sa mga user at nagtatakda ng mga pahintulot sa transaksyon bilang default.

Ang pagsasaliksik sa ilang mga high-profile na wallet – kabilang ang Metamask, Opera at imToken – nakita ni Ohayon na kapag inaprubahan ng mga user ang isang partikular na transaksyon, madalas din nilang inaaprubahan ang lahat ng mga transaksyon sa hinaharap bilang default. Binubuksan nito ang mga pintuan para sa mga nakakahamak na desentralisadong aplikasyon upang makipag-ugnayan sa mga pondo ng user nang hindi nila nalalaman o pahintulot, na posibleng magnanakaw ng buo eter (ETH) na mga hawak.

Tingnan din ang: Paano Nakakakuha ang Mga Ethereum Application ng A+ Security Rating

Ang bug ay mahusay na dokumentado, kahit na ang reklamo ni Ohayon ay muling nagpapasigla sa isang makabuluhang salungatan sa Crypto: Dapat bang gawin ng mga kumpanya ng Crypto ang kanilang makakaya upang maprotektahan ang mga user, o dapat bang ganap na tanggapin ng mga may hawak ng Crypto ang kanilang responsibilidad para sa kanilang kayamanan ng digital asset?

Ang pangkat ng ZenGo ay nag-set up ng isang dapp demonstration upang alertuhan ang mga user ng potensyal na pagsasamantalang ito. Ipinapakita ng video ang isang user na nagpapadala ng ilang FRT (isang testnet currency) sa "rogue swapping app" at pinahihintulutan itong mag-withdraw ng mga nasabing token at mag-automate ng mga transaksyon. Pagkatapos, inuubos ng BaDApprove dapp ang buong balanse ng user.

Dapat na ipinapakita ng mga pitaka ang impormasyong ito sa harap at gitna sa mga user, at pagkakaroon ng mga alerto kung sa tingin nito ay may hindi magandang nangyayari.

"Ito ay tulad ng sinasabi, 'sa pamamagitan ng paggawa ng bank transfer na ito tinatanggap mo ang tatanggap ay makakatanggap ng ganap na access sa iyong bank account,'" sabi ni Ohayon sa Telegram. Ang sitwasyon ay pinalala ng katotohanan na maraming mga wallet ay hindi nakikipag-usap sa kanilang mga gumagamit ng mga pahintulot na ito, kahit na ang mga gumagamit ay huminto sa paggamit ng dapp.

Nakipag-ugnayan sa pamamagitan ng CoinDesk, si Sunny Aggarwal, isang research scientist sa Tendermint and Cosmos, ay nagpatakbo ng simulation at nakita rin ang mga kahihinatnan.

"Ang Ethereum dapps, kung gusto nilang makipag-ugnayan sa iyong mga token ng ERC20, kailangan munang humingi ng pag-apruba upang payagang umakyat sa ilang bilang ng mga ito," sabi ni Aggarwal sa isang direktang mensahe. "Ang nangyari dito ay hiniling ng dapp na aprubahan ang napakataas na halaga ng mga token, [nang hindi ipinapakita] kung magkano ang inaprubahan."

Ginamit ni Aggarwal ang sikat na wallet na Metamask, na sinabi niya na ipinakita lamang ang halaga ng transaksyon pagkatapos niyang i-click ang "Show More Details." “At kahit na pagkatapos ay makikita mo itong ipinapakita bilang 1.1579…………e+59,” o sa siyentipikong notasyon, “na napakadali para sa isang tao na mali ang pagkabasa at hindi sinasadyang isipin na ito ay nag-aapruba tulad ng ~1.15 na mga token.”

"Ito ay isang kabiguan sa bahagi ng mga wallet," sabi niya. "Dapat na ipinapakita ng mga wallet ang impormasyong ito sa harap at gitna sa mga user, at pagkakaroon ng mga alerto kung sa tingin nito ay may hindi magandang nangyayari."

Kilalang isyu

Ang itinampok ni Ohayon at ZenGo ay isang kilalang isyu sa komunidad ng DeFi (desentralisadong Finance) sa loob ng maraming taon. Ang mas malaking tanong ay kung bakit T ito naayos. Para sa ilan sa mundo ng dapp, ang sagot ay T ito isang kapintasan o isang bug bilang isang hindi magandang tampok.

Noong Setyembre 2018, binalangkas ni Jordan Randolph, isang kinatawan ng Ethex, isang desentralisadong palitan, ang problema sa isang Medium post. Ang isang beses na pag-apruba upang ilipat ang "halos walang katapusang halaga ng mga token ... ay maaaring maging maginhawa," isinulat niya. "Gayunpaman, ang pagkakaroon ng halos walang katapusang bilang ng mga token na naaprubahan ay nangangahulugan na ang lahat ng [iyong] mga token ay magagamit upang ilipat ng matalinong kontrata."

Ang preset ng wallet ay bumaba sa isang pagpipilian sa pagitan ng kaginhawahan at seguridad, aniya. Hindi tumugon si Randolph sa isang Request para sa komento.

Tingnan din: Opinyon: Salamat sa Better UX, This Year Dapps Will Go Mainstream

"Ang mga Dapp na nag-aalok lamang ng ONE opsyon - ang pag-apruba ng malaking bilang ng mga token - ay may nakamamatay na depekto sa seguridad."

Sa nakalipas na ilang linggo, itinaas ng ZenGo ang isyu sa ilang kilalang wallet, na kadalasang nakakatanggap ng pushback.

"Ang isyung ito ay isang kilalang panganib at nangangailangan ng pakikipag-ugnayan ng user. Malinaw na naming naabisuhan ang user kapag pumapasok sila sa isang third-party na dapp. Ngunit nagpapasalamat pa rin kami sa iyong ulat," sinabi ng isang kinatawan ng imToken kay Tal Be'ery, cofounder ng ZenGo, sa Twitter.

Naabot ng CoinDesk, sinabi ni Ben He, imToken CEO, "Hindi ito isang pagsasamantala sa seguridad, ito ay isang hindi magandang convention sa buong Ethereum ecosystem na karamihan sa mga dapps/DeFi app Request ng walang limitasyong allowance mula sa mga user."

Upang matugunan ang isyu, ang imToken dapp browser ay may dalawang popup modals, aniya. Ang ONE ay kapag binisita ng unang beses na user ang dapp URL, at ang pangalawa ay lalabas na humihingi ng pahintulot ng user bago magtransaksyon.

"Napakahalaga na ang isang user ay pumirma ng mga transaksyon nang maingat at nakikita namin na ito ay isang wasto at magiliw na paalala sa komunidad," sabi niya, at idinagdag na ang kumpanya ay "pino-polish ang aming UI (user interface) upang mabawasan ang mga alalahanin."

Nagpakita ang Metamask ng katulad na tugon kapag tinanong tungkol sa walang limitasyong mga pahintulot. "Ito ay talagang isang secure na tampok na regular na ginagamit ng mga user nang responsable. Ito ay hindi isang uri ng bug o problema," sabi ng isang indibidwal mula sa linya ng suporta ng MetaMask.

"[T] dito ay hindi isang likas na isyu sa pamantayan ng ERC-20, ngunit [ito] ay mahalaga sa pagpapahintulot sa mga matalinong kontrata na makipag-ugnay sa mga token," sabi niya.

Ang kumpanya ay naging maagap sa pagdaragdag ng mga pag-iingat, tulad ng mga popup na mensahe na humihingi ng kumpirmasyon upang magpadala ng mga pondo at hayaan ang mga user na ayusin ang naaprubahang kabuuan sa ilalim ng mga advanced na setting.

Tingnan din ang: Dapat Gumamit ang US ng Stablecoins para sa Emergency Coronavirus Payments

Bilang karagdagan, ayon sa kinatawan, ang Metamask ay may "mga plano na bigyan ang mga gumagamit ng higit pang kontrol," tulad ng mga tampok na nagpapadali sa pagbawi ng allowance na ito.

Binanggit din ni Ohayon ang Brave at Coinbase bilang nagpapakita ng "makabuluhang babala," kahit na hindi nito inaalis ang panganib na maaaring pagsamantalahan ng mga malisyosong aktor ang mga gumagamit ng dapp.

"Ang ilang mga kompromiso sa seguridad na maaaring naging katanggap-tanggap sa panahon kung kailan kakaunti ang mga user at lubhang teknikal ay hindi katanggap-tanggap kapag ang DeFi ay naging mainstream, nakakakuha ng maraming hindi teknikal na mga user, at pangangasiwa ng mga Crypto token sa bilyun-bilyong (USD)," sumulat si Alex Manuskin, ZenGo researcher, sa isang post sa blog.

Naniniwala siya kung ang Crypto ay magiging mainstream, ang mga wastong pag-iingat ay kailangang ilagay upang matiyak na ang mga bagong gumagamit ay hindi pinagsamantalahan.

Ang isang katulad na isyu ay itinaas dalawang linggo na ang nakakaraan kasunod ng Crypto flash, nang ang tanong ng pangangalakal "mga circuit breakerPara sa marami, ang mga pag-iingat na ito ay nakikipaglaban sa Crypto etos ng desentralisasyon at personal na awtonomiya.

I-UPDATE: Bilang tugon sa pananaliksik ng ZenGo, nakipag-ugnayan ang kinatawan ng imToken na si Philipp Seifert para sabihing magdaragdag ang kompanya ng mga push notification para sa mga transaksyon at isang paraan para mag-edit ng mga allowance.

"Bagama't T nito pinipigilan ang mga user na magtakda ng walang limitasyong mga allowance, nakatitiyak kami na nakakatulong ito sa paggawa ng mga edukadong desisyon," ayon sa isang imToken Medium post.