Der langanhaltende DeFi Dapp-Fehler wurde von der Industrie immer noch nicht behoben

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


DeFi hat ein offenes Sicherheitsproblem. Ein Team von Produktdesignern für ZenGo, ein Unternehmen für nicht verwahrte Geldbörsen, hat einen Exploit gefunden, mit dem die Gelder der Benutzer aus fast allen dapp-Geldbörsen abgezogen werden können. Während die Sicherheitslücke seit zwei Jahren bekannt ist, schlägt Ouriel Ohayon, CEO von ZenGo, Alarm und argumentiert, dass die Sicherheitslücke ein Risiko für Benutzer darstellt, das nicht vollständig behoben wurde.

Das Sicherheitsproblem mit dem Namen BaDApprove ist kein Codefehler, sondern ein Problem bei der Interaktion von Brieftaschen mit Benutzern und beim Festlegen von Transaktionsberechtigungen.

Bei der Untersuchung einer Reihe hochkarätiger Brieftaschen – einschließlich Metamask, Opera und imToken – stellte Ohayon fest, dass Benutzer, die eine bestimmte Transaktion genehmigen, häufig auch standardmäßig alle zukünftigen Transaktionen genehmigen. Dies eröffnet böswilligen Dapps die Möglichkeit, ohne deren Wissen oder Zustimmung mit Benutzergeldern zu interagieren und möglicherweise ganze Ethereum-Bestände zu stehlen.

Siehe auch: Wie Ethereum-Anwendungen A + Sicherheitsbewertungen erhalten

Der Fehler ist gut dokumentiert, obwohl Ohayons Beschwerde einen bahnbrechenden Konflikt in Bezug auf Krypto erneut auslöst: Sollten Krypto-Unternehmen alles tun, um Benutzer zu schützen, oder sollten Krypto-Inhaber die volle Verantwortung für ihren Reichtum an digitalen Assets übernehmen?

Das ZenGo-Team hat eine Dapp-Demonstration eingerichtet, um Benutzer auf diesen potenziellen Exploit aufmerksam zu machen. Das Video zeigt einen Benutzer, der einige FRTs (eine Testnetzwährung) an die „Rogue Swapping App“ sendet und es ihm ermöglicht, diese Token zurückzuziehen und Transaktionen zu automatisieren. Dann entleert der BaDApprove-Dapp das gesamte Guthaben des Benutzers.

Brieftaschen sollten den Benutzern diese Informationen im Vordergrund und in der Mitte anzeigen und Warnungen anzeigen, wenn sie der Meinung sind, dass etwas Skizziertes vor sich geht.

"Es ist so, als würde man sagen:" Durch diese Überweisung akzeptieren Sie, dass der Empfänger vollen Zugriff auf Ihr Bankkonto erhält ", sagte Ohayon über Telegramm. Die Situation wird durch die Tatsache verschärft, dass viele Brieftaschen ihren Benutzern nicht mitteilen, dass diese Berechtigungen bestehen, selbst wenn sie die Dapp nicht mehr verwenden.

Sunny Aggarwal, ein Wissenschaftler bei Tendermint und Cosmos, wurde von CoinDesk kontaktiert und führte die Simulation durch und erkannte auch die Konsequenzen.

"Ethereum-Dapps müssen, wenn sie mit Ihren ERC20-Token interagieren möchten, zuerst die Genehmigung einholen, damit sie zu einer bestimmten Anzahl von Token wechseln können", sagte Aggarwal in einer direkten Nachricht. „Was hier passiert ist, ist, dass der Dapp darum gebeten hat, eine extrem hohe Anzahl von Token zu genehmigen. [without showing] wie viel wird genehmigt. "

Aggarwal verwendete die beliebte Metamask-Brieftasche, in der der Transaktionsbetrag erst angezeigt wurde, nachdem er auf "Weitere Details anzeigen" geklickt hatte. "Und selbst dann wird es als 1,1579 ………… e + 59 angezeigt" oder in wissenschaftlicher Notation, "was für jemanden viel zu einfach ist, um es falsch zu lesen und versehentlich zu glauben, dass es wie ~ 1,15 Token genehmigt."

kuhn
Metamask Brieftasche

"Dies ist ein Fehler seitens der Brieftaschen", sagte er. "Brieftaschen sollten den Benutzern diese Informationen vorne und in der Mitte anzeigen und Benachrichtigungen erhalten, wenn sie der Meinung sind, dass etwas Unüberlegtes vor sich geht."

Bekanntes Problem

Was Ohayon und ZenGo hervorgehoben haben, ist seit Jahren ein bekanntes Problem in der DeFi-Community (dezentrale Finanzen). Die größere Frage ist, warum dies nicht behoben wurde. Für einige in der dapp-Welt ist die Antwort, dass es nicht so sehr ein Fehler oder ein Fehler ist, sondern eine nicht gute Funktion.

Im September 2018 erläuterte Jordan Randolph, ein Vertreter von Ethex, einem dezentralen Austausch, das Problem in einem Medium-Beitrag. Einmalige Genehmigungen zum Verschieben „einer nahezu unendlichen Anzahl von Token… können praktisch sein“, schrieb er. „Eine nahezu unendliche Anzahl genehmigter Token bedeutet jedoch alles [your] Zeichen[s are] verfügbar, um durch den Smart-Vertrag übertragen zu werden. “

Bei der Voreinstellung der Brieftasche kommt es auf die Wahl zwischen Komfort und Sicherheit an, sagte er. Randolph antwortete nicht auf eine Bitte um Kommentar.

Siehe auch: STELLUNGNAHME: Dank Better UX werden Dapps dieses Jahr zum Mainstream

"DApps, die nur eine Option bieten – die Genehmigung einer großen Anzahl von Token – weisen eine schwerwiegende Sicherheitslücke auf."

In den letzten Wochen hat ZenGo das Problem mit einer Reihe prominenter Geldbörsen angesprochen, die häufig zurückgedrängt wurden.

„Dieses Problem ist ein bekanntes Risiko und erfordert Benutzerinteraktion. Wir haben den Benutzer bereits eindeutig benachrichtigt, wenn er eine DApp eines Drittanbieters eingibt. Trotzdem danken wir Ihnen für Ihren Bericht “, sagte ein Vertreter von imToken gegenüber Tal Be'ery, Mitbegründer von ZenGo, über Twitter.

Ben He, CEO von imToken, wurde von CoinDesk erreicht und sagte: „Es ist kein Sicherheits-Exploit, es ist eine nicht gute Konvention für das gesamte Ethereum-Ökosystem, dass die meisten DApps / DeFi-Apps von den Benutzern unbegrenzte Berechtigungen verlangen.“

Um das Problem zu beheben, verfügt der imToken-Dapp-Browser über zwei Popup-Modalitäten. Eine ist, wenn ein erstmaliger Benutzer die dapp-URL besucht und die zweite vor der Transaktion die Zustimmung des Benutzers einholt.

Ohayon
Ouriel Ohayon, CEO von ZenGo

"Es ist wichtig, dass ein Benutzer Transaktionen vorsichtig signiert, und wir sehen, dass dies eine angemessene und freundliche Erinnerung an die Community ist", sagte er und fügte hinzu, dass das Unternehmen "unsere Benutzeroberfläche poliert, um die Bedenken auszuräumen."

Metamask gab eine ähnliche Antwort, wenn nach unbegrenzten Berechtigungen gefragt wurde. „Dies ist eine sichere Funktion, die Benutzer regelmäßig verantwortungsbewusst nutzen. Es ist kein Fehler oder Problem “, sagte eine Person aus der MetaMask-Support-Linie.

„[T]Der ERC-20-Standard ist hier kein inhärentes Problem, aber von grundlegender Bedeutung, damit intelligente Verträge mit Token zusammenarbeiten können “, sagte er.

Das Unternehmen hat proaktiv Schutzmaßnahmen hinzugefügt, z. B. Popup-Nachrichten, in denen eine Bestätigung zum Senden von Geldern angefordert wird, und die es Benutzern ermöglichen, die genehmigte Summe unter erweiterten Einstellungen anzupassen.

Siehe auch: Die USA sollten Stablecoins für Coronavirus-Notzahlungen verwenden

Laut dem Vertreter hat Metamask außerdem "Pläne, den Benutzern noch mehr Kontrolle zu geben", beispielsweise Funktionen, die es einfacher machen, diese Berechtigung zu widerrufen.

Ohayon zitierte auch Brave und Coinbase als "sinnvolle Warnung", obwohl dies nicht das Risiko beseitigt, dass böswillige Akteure dapp-Benutzer ausnutzen können.

„Einige Sicherheitskompromisse, die in der Zeit der Benutzer möglicherweise akzeptabel waren
Knapp und hochtechnisch sind nicht akzeptabel, wenn DeFi zum Mainstream wird und viele erwirbt
Nicht-technische Benutzer und Umgang mit Krypto-Token in Milliardenhöhe (USD) “, schrieb Alex Manuskin, ZenGo-Forscher, in einem Blogbeitrag.

Er glaubt, dass, wenn Krypto jemals zum Mainstream werden soll, angemessene Sicherheitsvorkehrungen getroffen werden müssen, um sicherzustellen, dass neue Benutzer nicht ausgenutzt werden.

Ein ähnliches Problem wurde vor zwei Wochen nach dem Krypto-Flash angesprochen, als die Frage des Handels mit „Leistungsschaltern“ auftauchte. Für viele stehen diese Vorsichtsmaßnahmen im Widerspruch zum Krypto-Ethos der Dezentralisierung und der persönlichen Autonomie.

Offenlegung Lesen Mehr

CoinDesk ist führend in Blockchain-Nachrichten und ein Medienunternehmen, das nach höchsten journalistischen Standards strebt und strenge redaktionelle Richtlinien einhält. CoinDesk ist eine unabhängige operative Tochtergesellschaft der Digital Currency Group, die in Kryptowährungen und Blockchain-Startups investiert.

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close