Il bug DeFi Dapp che si è diffuso da tempo non è ancora stato risolto dal settore (aggiornato)

DeFi ha un problema di sicurezza aperto. Un team di product designer per ZenGo, una società di wallet non custodial, ha trovato un exploit che può prosciugare i fondi degli utenti da quasi tutti i wallet dapp. Mentre la falla di sicurezza è nota da due anni, Ouriel Ohayon, CEO di ZenGo, sta lanciando l'allarme, sostenendo che la falla rappresenta un rischio per gli utenti che non è stato completamente affrontato.

La questione della sicurezza,denominato BaDApprove, non è un bug del codice ma un problema nel modo in cui i portafogli interagiscono con gli utenti e impostano le autorizzazioni alle transazioni per impostazione predefinita.

Dopo aver esaminato diversi wallet di alto profilo, tra cui Metamask, Opera e imToken, Ohayon ha scoperto che quando gli utenti approvano una transazione specifica, spesso approvano anche tutte le transazioni future per impostazione predefinita. Ciò apre le porte ad applicazioni decentralizzate dannose per interagire con i fondi degli utenti senza la loro conoscenza o il loro consenso, possibilmente rubando interietere partecipazioni (ETH).

Vedi anche:Come le applicazioni Ethereum ottengono valutazioni di sicurezza A+

Il bug è ben documentato, sebbene la denuncia di Ohayon riaccenda un conflitto fondamentale nel Cripto: le aziende Cripto dovrebbero fare il possibile per proteggere gli utenti o i detentori Cripto dovrebbero assumersi la piena responsabilità del loro patrimonio di asset digitali?

Il team di ZenGo ha creato una dimostrazione dapp per avvisare gli utenti di questo potenziale exploit. Il video mostra un utente che invia alcuni FRT (una valuta testnet) alla "rogue swapping app" e le consente di prelevare i suddetti token e automatizzare le transazioni. Quindi, la dapp BaDApprove prosciuga l'intero saldo dell'utente.

I portafogli dovrebbero mostrare queste informazioni in primo piano agli utenti e dovrebbero ricevere avvisi se ritengono che stia succedendo qualcosa di sospetto.

"È come dire, 'facendo questo bonifico bancario accetti che il destinatario riceva pieno accesso al tuo conto bancario'", ha detto Ohayon su Telegram. La situazione è aggravata dal fatto che molti wallet non comunicano ai propri utenti che queste autorizzazioni sono valide, anche se gli utenti smettono di usare la dapp.

Contattato da CoinDesk, Sunny Aggarwal, ricercatore scientifico presso Tendermint e Cosmos, ha eseguito la simulazione e ne ha anche visto le conseguenze.

"Le dapp Ethereum , se vogliono interagire con i tuoi token ERC20, devono prima chiedere l'approvazione per poter passare a un certo numero di essi", ha detto Aggarwal in un messaggio diretto. "Quello che è successo qui è che la dapp ha chiesto di approvare una quantità estremamente elevata di token, [senza mostrare] quanto è stato approvato".

Aggarwal ha utilizzato il famoso portafoglio Metamask, che ha detto di aver mostrato l'importo della transazione solo dopo aver cliccato su "Mostra altri dettagli". "E anche in quel caso lo vedrai visualizzato come 1,1579…………e+59", o in notazione scientifica, "che è fin troppo facile da leggere male e pensare accidentalmente che stia approvando circa ~1,15 token".

"Questo è un fallimento da parte dei portafogli", ha detto. "I portafogli dovrebbero mostrare queste informazioni in primo piano agli utenti e avere avvisi se pensano che stia succedendo qualcosa di sospetto".

Problema noto

Ciò che Ohayon e ZenGo hanno evidenziato è un problema noto nella comunità DeFi ( Finanza decentralizzata) da anni. La domanda più importante è perché T è stato risolto. Per alcuni nel mondo dapp, la risposta è che T è tanto un difetto o un bug quanto una funzionalità non buona.

Nel settembre 2018, Jordan Randolph, rappresentante di Ethex, un exchange decentralizzato, ha delineato il problema in un post su Medium. Le approvazioni una tantum per spostare "una quantità quasi infinita di token ... possono essere comode", ha scritto. "Tuttavia, avere un numero quasi infinito di token approvati significa che tutti i [tuoi] token sono disponibili per essere trasferiti tramite lo smart contract".

La preimpostazione del portafoglio si riduce a una scelta tra comodità e sicurezza, ha detto. Randolph non ha risposto a una Request di commento.

Vedi anche: Opinioni: Grazie a una migliore UX, quest'anno le DApp diventeranno mainstream

“Le Dapp che offrono ONE sola opzione, ovvero l’approvazione di un numero enorme di token, nascondono una falla di sicurezza fatale.”

Nelle ultime settimane, ZenGo ha sollevato la questione con diversi portafogli importanti, ricevendo spesso reazioni negative.

"Questo problema è un rischio noto e richiede l'interazione dell'utente. Abbiamo già chiaramente avvisato l'utente quando sta entrando in una dapp di terze parti. Ma ti ringraziamo comunque per la segnalazione", ha detto un rappresentante di imToken a Tal Be'ery, co-fondatore di ZenGo, su Twitter.

Contattato da CoinDesk, Ben He, CEO di imToken, ha affermato: "Non si tratta di un problema di sicurezza, è una convenzione non buona per l'intero ecosistema Ethereum che la maggior parte delle app dapp/DeFi Request agli utenti una quota illimitata".

Per risolvere il problema, il browser dapp imToken ha due popup modali, ha detto. ONE è quando un utente visita per la prima volta l'URL dapp, e il secondo si apre chiedendo il consenso dell'utente prima di effettuare una transazione.

"È fondamentale che un utente firmi le transazioni con cautela e riteniamo che questo sia un promemoria appropriato e amichevole per la comunità", ha affermato, aggiungendo che l'azienda sta "rifinendo la nostra interfaccia utente per attenuare le preoccupazioni".

Metamask ha dato una risposta simile quando interrogato sui permessi illimitati. "Questa è in realtà una funzionalità sicura che gli utenti usano regolarmente in modo responsabile. Non è un qualche tipo di bug o problema", ha detto un individuo della linea di supporto di MetaMask.

“Non c’è un problema T con lo standard ERC-20, ma è fondamentale per consentire ai contratti intelligenti di interagire con i token”, ha affermato.

L'azienda è stata proattiva nell'aggiungere misure di sicurezza, come messaggi popup che chiedono conferma per l'invio di fondi e consentono agli utenti di modificare l'importo approvato nelle impostazioni avanzate.

Vedi anche:Gli Stati Uniti dovrebbero usare le stablecoin per i pagamenti di emergenza per il coronavirus

Inoltre, secondo il rappresentante, Metamask ha "in programma di dare agli utenti ancora più controllo", come funzionalità che rendono più facile revocare questa concessione.

Ohayon ha anche citato Brave e Coinbase come esempi di “avvertimento significativo”, sebbene ciò non elimini il rischio che gli attori malintenzionati possano sfruttare gli utenti di dapp.

"Alcuni compromessi sulla sicurezza che potrebbero essere stati accettabili nell'era in cui gli utenti erano scarsi e altamente tecnici non lo sono più quando la DeFi diventa mainstream, acquisendo molti utenti non tecnici e gestendo token Cripto per miliardi (USD)", ha scritto Alex Manuskin, ricercatore di ZenGo, in un post sul blog.

Ritiene che se si vuole che le Cripto diventino un fenomeno di massa, sarà necessario adottare misure di sicurezza adeguate per evitare che i nuovi utenti vengano sfruttati.

Una questione simile è stata sollevata due settimane fa in seguito al flash Cripto , quando la questione del trading “interruttori automatici" è venuto fuori. Per molti, queste precauzioni sono in competizione con l'etica Cripto della decentralizzazione e dell'autonomia personale.

AGGIORNAMENTO: In risposta alla ricerca di ZenGo, il rappresentante di imToken Philipp Seifert ci ha contattati per dire che l'azienda aggiungerà notifiche push per le transazioni e una modalità per modificare le quote.

"Sebbene ciò T impedisca agli utenti di impostare quote illimitate, siamo certi che aiuti a prendere decisioni consapevoli", secondo un Post di Medium imToken.