Un bug persistant dans les Dapps DeFi n'a toujours pas été corrigé par l'industrie (mise à jour)

La DeFi présente un problème de sécurité. Une équipe de concepteurs produits de ZenGo, une entreprise de portefeuilles non dépositaires, a découvert un exploit capable de drainer les fonds des utilisateurs de presque tous les portefeuilles d'applications décentralisées. Bien que la faille de sécurité soit connue depuis deux ans, Ouriel Ohayon, PDG de ZenGo, tire la sonnette d'alarme, arguant qu'elle représente un risque pour les utilisateurs qui n'a pas été entièrement corrigé.

La question de la sécurité,nommé BaDApprove, n'est pas un bug de code mais un problème avec la façon dont les portefeuilles interagissent avec les utilisateurs et définissent les autorisations de transaction par défaut.

En étudiant plusieurs portefeuilles de renom, dont Metamask, Opera et imToken, Ohayon a constaté que lorsque les utilisateurs approuvent une transaction spécifique, ils approuvent souvent également toutes les transactions futures par défaut. Cela ouvre la porte à des applications décentralisées malveillantes qui interagissent avec les fonds des utilisateurs à leur insu et sans leur consentement, et peuvent ainsi voler l'intégralité de leurs données.éther (ETH) avoirs.

Voir aussi :Comment les applications Ethereum obtiennent des notes de sécurité A+

Le bug est bien documenté, bien que la plainte d'Ohayon ravive un conflit fondamental dans la Crypto: les entreprises de Crypto devraient-elles faire ce qu'elles peuvent pour protéger les utilisateurs, ou les détenteurs de Crypto devraient-ils assumer l'entière responsabilité de leur richesse en actifs numériques ?

L'équipe ZenGo a mis en place une démonstration d'application décentralisée pour alerter les utilisateurs de cette faille potentielle. La vidéo montre un utilisateur qui envoie quelques FRT (monnaie de testnet) à l'application d'échange malveillante et lui permet de retirer ces jetons et d'automatiser les transactions. L'application décentralisée BaDApprove vide ensuite l'intégralité du solde de l'utilisateur.

Les portefeuilles devraient montrer ces informations en premier plan aux utilisateurs et émettre des alertes s'ils pensent que quelque chose de louche se passe.

« C'est comme dire : "En effectuant ce virement, vous acceptez que le destinataire ait pleinement accès à votre compte bancaire" », a déclaré Ohayon sur Telegram. La situation est aggravée par le fait que de nombreux portefeuilles ne communiquent pas à leurs utilisateurs la validité de ces autorisations, même si ces derniers cessent d'utiliser la dapp.

Contacté par CoinDesk, Sunny Aggarwal, chercheur scientifique chez Tendermint et Cosmos, a exécuté la simulation et a également vu les conséquences.

« Si les dapps Ethereum souhaitent interagir avec vos jetons ERC20, elles doivent d'abord demander l'autorisation d'en transférer un certain nombre », a déclaré Aggarwal dans un message direct. « En fait, la dapp a demandé l'approbation d'un nombre extrêmement élevé de jetons, sans afficher le montant approuvé. »

Aggarwal utilisait le populaire portefeuille Metamask, qui, selon lui, n'affichait le montant de la transaction qu'après avoir cliqué sur « Afficher plus de détails ». « Et même dans ce cas, le montant affiché est de 1,1579…………e+59 », soit en notation scientifique, « ce qui est bien trop facile à interpréter et à croire par erreur qu'il s'agit d'environ 1,15 jeton approuvé. »

« C'est un échec de la part des portefeuilles », a-t-il déclaré. « Les portefeuilles devraient afficher ces informations en avant-plan pour les utilisateurs et émettre des alertes s'ils détectent une activité suspecte. »

Problème connu

Ce qu'Ohayon et ZenGo ont mis en évidence est un problème connu depuis des années au sein de la communauté DeFi ( Finance décentralisée). La question est de savoir pourquoi il n'a T été corrigé. Pour certains acteurs du monde des dApps, il ne s'agit T tant d'une faille ou d'un bug que d'une fonctionnalité problématique.

En septembre 2018, Jordan Randolph, représentant d'Ethex, une plateforme d'échange décentralisée, a exposé le problème dans un article sur Medium. Les approbations uniques pour transférer « une quantité quasi infinie de jetons… peuvent être pratiques », a-t-il écrit. « Cependant, l'approbation d'un nombre quasi infini de jetons signifie que tous vos jetons sont disponibles pour être transférés par le contrat intelligent. »

Le choix du portefeuille dépend de la commodité et de la sécurité, a-t-il déclaré. Randolph n'a pas répondu à une Request de commentaire.

Voir aussi : Analyses: Grâce à une meilleure expérience utilisateur, les DApps deviendront courantes cette année

« Les DApps qui n'offrent qu'une ONE option – l'approbation d'un grand nombre de jetons – présentent une faille de sécurité fatale. »

Au cours des dernières semaines, ZenGo a soulevé le problème auprès d'un certain nombre de portefeuilles importants, recevant souvent des réactions négatives.

« Ce problème est un risque connu et nécessite une intervention de l'utilisateur. Nous avons déjà clairement informé l'utilisateur lorsqu'il accède à une dapp tierce. Nous vous remercions néanmoins pour votre signalement », a déclaré un représentant d'imToken à Tal Be'ery, cofondateur de ZenGo, sur Twitter.

Contacté par CoinDesk, Ben He, PDG d'imToken, a déclaré : « Ce n'est pas une faille de sécurité, c'est une mauvaise convention pour l'ensemble de l'écosystème Ethereum que la plupart des applications dapps/DeFi Request une allocation illimitée aux utilisateurs. »

Pour résoudre ce problème, le navigateur d'application décentralisée imToken propose deux fenêtres contextuelles. La ONE s'affiche lorsqu'un utilisateur visite l'URL de l'application décentralisée pour la première fois, et la seconde demande son consentement avant toute transaction.

« Il est essentiel qu'un utilisateur signe des transactions avec prudence et nous considérons qu'il s'agit d'un rappel approprié et amical à la communauté », a-t-il déclaré, ajoutant que l'entreprise « peaufine notre interface utilisateur pour atténuer les inquiétudes ».

Metamask a présenté une réponse similaire à la question des autorisations illimitées. « Il s'agit en réalité d'une fonctionnalité sécurisée que les utilisateurs utilisent régulièrement et de manière responsable. Il ne s'agit pas d'un bug ou d'un problème », a déclaré un membre du support technique de MetaMask.

« Il n’y a pas de problème inhérent à la norme ERC-20, mais elle est fondamentale pour permettre aux contrats intelligents d’interagir avec les jetons », a- T il déclaré.

L'entreprise a été proactive en ajoutant des mesures de protection, comme des messages contextuels qui demandent une confirmation pour envoyer des fonds et permettent aux utilisateurs d'ajuster la somme approuvée dans des paramètres avancés.

Voir aussi :Les États-Unis devraient utiliser des stablecoins pour les paiements d'urgence liés au coronavirus.

De plus, selon le représentant, Metamask a « l’intention de donner aux utilisateurs encore plus de contrôle », comme des fonctionnalités facilitant la révocation de cette autorisation.

Ohayon a également cité Brave et Coinbase comme affichant un « avertissement significatif », bien que cela ne supprime pas le risque que des acteurs malveillants puissent exploiter les utilisateurs d'applications décentralisées.

« Certains compromis de sécurité qui auraient pu être acceptables à l'époque où les utilisateurs étaient rares et hautement techniques ne sont plus acceptables lorsque la DeFi se généralise, acquiert de nombreux utilisateurs non techniques et gère des jetons Crypto de plusieurs milliards (USD) », a écrit Alex Manuskin, chercheur chez ZenGo, dans un article de blog.

Il estime que si la Crypto doit un jour devenir courante, des mesures de protection appropriées devront être mises en place pour garantir que les nouveaux utilisateurs ne soient pas exploités.

Une question similaire a été soulevée il y a deux semaines suite au flash Crypto , lorsque la question du trading «disjoncteurs« » a été évoqué. Pour beaucoup, ces précautions vont à l'encontre de l'éthique Crypto de décentralisation et d'autonomie personnelle.

MISE À JOUR : En réponse aux recherches de ZenGo, le représentant d'imToken, Philipp Seifert, a contacté l'entreprise pour lui dire que l'entreprise ajouterait des notifications push pour les transactions et un moyen de modifier les allocations.

« Bien que cela n'empêche T les utilisateurs de définir des allocations illimitées, nous sommes sûrs que cela aide à prendre des décisions éclairées », selon un Publication moyenne d'imToken.