ZenGo предупреждает о серьезном недостатке безопасности среди кошельков DApp

[NewsBit]

Поставщик криптовалютного кошелька ZenGo создал тестовую сеть, чтобы продемонстрировать серьезный недостаток безопасности, распространенный среди кошельков децентрализованных приложений (DApp).

23 марта, ZenGo опубликовал статью, в которой подчеркивается, что при авторизации конкретной транзакции многие кошельки DApp фактически предоставляют доступ ко всем этим токенам, хранящимся в подключенном кошельке:

Цитата:

«В результате, если DApp уязвим с точки зрения безопасности или изначально является мошенником, злоумышленники могут использовать эти чрезмерные привилегии для кражи ВСЕХ пользовательских владений DApp (в утвержденных токенах) без какого-либо дополнительного согласия пользователя. Они могут сделать это в любой момент в будущем, даже если пользователь больше не использует DApp».

ZenGo создает testnet для демонстрации уязвимости
ZenGo сказал, что «почти каждый DApp» демонстрирует уязвимость, в результате чего пользователи невольно предоставляют смарт-контрактам DApp полный контроль над своими средствами.

Чтобы продемонстрировать уязвимость, ZenGo запустил общедоступную тестовую сеть с «жуликом», заменяющим токен DApp, названным baDAPProve.

Когда пользователь авторизует транзакцию с определенным количеством токенов FRT в тестовой сети, baDAPProve опустошает весь кошелек FRT пользователя, подчеркивая риски, связанные с уязвимостью.

В настоящее время ZenGo разрабатывает решение, предназначенное для решения проблемы безопасности.

Несмотря на то, что уязвимость была обнаружена несколько лет назад, ZenGo считает, что провайдеры кошельков делают недостаточно для того, чтобы пользователи знали о рисках безопасности, связанных с авторизацией DApps для доступа к своим кошелькам.

Фирма утверждает, что популярные кошельки Opera, Imtoken и Trust wallet не предлагают никаких предупреждений, идентифицирующих угрозу безопасности. Тем не менее, Trust Wallet указал, что он обновит свой кошелек после того, как с ним свяжется ZenGo.

ZenGo обнаружил, что кошельки, предлагаемые Brave и Metamask, предоставляют пользователям расширенные настройки, которые позволяют им выбирать сумму, к которой DApp может получить доступ, в то время как Coinbase предупреждает пользователей, подчеркивая риски.

Уязвимость кошелька недопустима по мере роста децентрализованного финансирования
ZenGo также определила, что даже если пользователь больше не использует DApp, смарт-контракт все равно может получить доступ к своим токенам в результате ранее предоставленного разрешения.

В то время как ZenGo признает, что определенные компромиссы в области безопасности «могли бы быть приемлемыми в эпоху, когда пользователи были скудными и высокотехнологичными», фирма утверждает, что растущая популярность децентрализованных финансовых протоколов требует обновлений безопасности, поскольку привлекает все больше нетехнических пользователей.

Коинтелеграф обратился к нескольким из вышеупомянутых кошельков, но не получил комментарий на момент публикации в прессе.