Давно существующая ошибка DeFi Dapp до сих пор не исправлена отраслью (обновлено)

DeFi имеет открытую проблему безопасности. Команда дизайнеров продуктов ZenGo, компании, занимающейся некастодиальными кошельками, обнаружила эксплойт, который может слить средства пользователей практически со всех кошельков dapp. Хотя уязвимость безопасности известна уже два года, Оуриэль Охайон, генеральный директор ZenGo, бьет тревогу, утверждая, что уязвимость представляет риск для пользователей, который не был полностью устранен.

Проблема безопасности,названный BaDApprove, — это не ошибка кода, а проблема с тем, как кошельки взаимодействуют с пользователями и устанавливают разрешения на транзакции по умолчанию.

Исследуя ряд известных кошельков, включая Metamask, Opera и imToken, Охайон обнаружил, что когда пользователи одобряют определенную транзакцию, они также часто одобряют все будущие транзакции по умолчанию. Это открывает двери для вредоносных децентрализованных приложений, которые могут взаимодействовать с пользовательскими средствами без их ведома или согласия, возможно, похищая целыеэфир (ETH) активы.

Смотрите также:Как приложения Ethereum получают рейтинг безопасности A+

Ошибка хорошо документирована, хотя жалоба Охайона вновь разжигает основополагающий конфликт в Криптo: должны ли Криптo делать все возможное для защиты пользователей или держатели Криптo должны нести полную ответственность за свое цифровое богатство?

Команда ZenGo организовала демонстрацию dapp, чтобы предупредить пользователей об этой потенциальной уязвимости. На видео показан пользователь, который отправляет несколько FRT (тестовая валюта) в «мошенническое приложение для обмена» и позволяет ему выводить указанные токены и автоматизировать транзакции. Затем dapp BaDApprove опустошает весь баланс пользователя.

Кошельки должны показывать эту информацию пользователям на видном месте и выдавать оповещения, если они считают, что происходит что-то подозрительное.

«Это как сказать: «Совершая этот банковский перевод, вы соглашаетесь, что получатель получит полный доступ к вашему банковскому счету», — сказал Охайон в Telegram. Ситуация усугубляется тем, что многие кошельки не сообщают своим пользователям о том, что эти разрешения остаются в силе, даже если пользователи прекращают использовать dapp.

CoinDesk связался с Санни Аггарвалом, научным сотрудником Tendermint и Cosmos, который провел моделирование и также увидел последствия.

«Если приложения Ethereum dapps хотят взаимодействовать с вашими токенами ERC20, им сначала нужно запросить одобрение, чтобы им разрешили перейти на некоторое их количество», — сказал Аггарвал в прямом сообщении. «Здесь произошло следующее: приложение dapp запросило одобрение чрезвычайно большого количества токенов, [не показывая], сколько именно одобряется».

Аггарвал использовал популярный кошелек Metamask, который, по его словам, показывал сумму транзакции только после того, как он нажимал «Показать больше деталей». «И даже тогда вы увидите, что она отображается как 1,1579…………e+59», или в научной нотации, «что слишком легко для кого-то неправильно истолковать и случайно подумать, что она одобряет около ~1,15 токенов».

«Это провал со стороны кошельков», — сказал он. «Кошельки должны показывать эту информацию пользователям на виду и выдавать оповещения, если они считают, что происходит что-то подозрительное».

Известная проблема

То, на что обратили внимание Охайон и ZenGo, было известной проблемой в сообществе DeFi (децентрализованные Финансы) в течение многих лет. Более важный вопрос заключается в том, почему это T было исправлено. Для некоторых в мире dapp ответ заключается в том, что это T столько недостаток или ошибка, сколько плохая функция.

В сентябре 2018 года Джордан Рэндольф, представитель децентрализованной биржи Ethex, описал проблему в посте на Medium. Единовременное одобрение на перемещение «почти бесконечного количества токенов… может быть удобным», — написал он. «Однако наличие почти бесконечного количества одобренных токенов означает, что все [ваши] токены доступны для передачи с помощью смарт-контракта».

Предустановка кошелька сводится к выбору между удобством и безопасностью, сказал он. Рэндольф не ответил на Request о комментарии.

См. также: Мнение: Благодаря лучшему пользовательскому опыту в этом году децентрализованные приложения станут мейнстримом

«Dapps, которые предлагают только ONE опцию — одобрение огромного количества токенов — таят в себе фатальную уязвимость безопасности».

За последние несколько недель ZenGo поднимал этот вопрос перед рядом известных кошельков, часто получая отпор.

«Эта проблема — известный риск, требующий взаимодействия с пользователем. Мы уже четко уведомили пользователя, когда он входит в стороннее dapp. Но мы все равно благодарим вас за ваш отчет», — сказал представитель imToken Талу Беэри, соучредителю ZenGo, в Twitter.

В интервью CoinDesk генеральный директор imToken Бен Хе заявил: «Это не уязвимость безопасности, а нехорошая традиция для всей экосистемы Ethereum , когда большинство приложений dapps/DeFi Request неограниченный доступ у пользователей».

По его словам, для решения этой проблемы браузер dapp imToken имеет два всплывающих модальных окна. ONE появляется, когда пользователь впервые посещает URL dapp, а второе всплывает, запрашивая согласие пользователя перед транзакцией.

«Крайне важно, чтобы пользователь подписывал транзакции с осторожностью, и мы считаем, что это правильное и дружелюбное напоминание сообществу», — сказал он, добавив, что компания «совершенствует свой пользовательский интерфейс, чтобы устранить опасения».

Metamask представила аналогичный ответ на вопрос о неограниченных разрешениях. «Это на самом деле безопасная функция, которую пользователи регулярно используют ответственно. Это не какая-то ошибка или проблема», — сказал человек из службы поддержки MetaMask.

«[T]Стандарт ERC-20 не является неотъемлемой проблемой, но [он] имеет основополагающее значение для обеспечения взаимодействия смарт-контрактов с токенами», — сказал он.

Компания проявила инициативу, добавив меры безопасности, такие как всплывающие сообщения с просьбой подтвердить отправку средств и предоставив пользователям возможность корректировать утвержденную сумму в расширенных настройках.

Смотрите также:США следует использовать стейблкоины для экстренных выплат в связи с коронавирусом

Кроме того, по словам представителя, Metamask «планирует предоставить пользователям еще больше контроля», например, за счет функций, упрощающих отмену этого разрешения.

Охайон также сослался на Brave и Coinbase, вынесшие «значимое предупреждение», хотя это не устраняет риск того, что злоумышленники могут использовать уязвимости пользователей dapp.

«Некоторые компромиссы в области безопасности, которые могли быть приемлемыми в эпоху, когда пользователей было мало и они были высокотехничны, неприемлемы, когда DeFi становится мейнстримом, привлекая множество нетехнических пользователей и оперируя Криптo токенами на миллиарды долларов США» — написал в своем блоге Алекс Манускин, исследователь ZenGo.

Он считает, что если Криптo когда-либо станет мейнстримом, необходимо будет принять надлежащие меры безопасности, чтобы гарантировать, что новые пользователи не будут подвергаться эксплуатации.

Похожая проблема была поднята две недели назад после Криптo флэша, когда вопрос о торговле «автоматические выключатели” возникли. Для многих эти меры предосторожности противоречат Криптo децентрализации и личной автономии.

ОБНОВЛЕНИЕ: В ответ на исследование ZenGo представитель imToken Филипп Зайферт связался с нами и сообщил, что компания добавит push-уведомления для транзакций и возможность редактирования квот.

«Хотя это T мешает пользователям устанавливать неограниченные лимиты, мы уверены, что это помогает принимать обоснованные решения», — говорится в сообщении. imToken пост Medium.