BTC
$109,438.06
+
1.67%
ETH
$2,562.52
+
2.62%
USDT
$0.9997
+
0.06%
XRP
$2.3489
+
1.67%
BNB
$670.36
+
1.06%
SOL
$176.76
+
2.97%
USDC
$0.9991
+
0.05%
DOGE
$0.2266
+
2.10%
ADA
$0.7628
+
3.43%
TRX
$0.2722
+
1.11%
HYPE
$38.99
+
13.94%
SUI
$3.6126
+
0.47%
LINK
$15.64
+
2.90%
AVAX
$23.57
+
4.01%
XLM
$0.2883
+
1.57%
SHIB
$0.0₄1456
+
2.08%
BCH
$426.18
+
1.36%
LEO
$8.8864
+
0.91%
HBAR
$0.1886
+
1.27%
XMR
$413.69
+
3.71%
Logo
  • Новости
  • Цены
  • Данные
  • Индексы
  • Исследовать
  • Мероприятия
  • Партнерский материал
  • Войти
  • Зарегистрироваться
Tecnologie
Condividi questo articolo
X iconX (Twitter)LinkedInFacebookEmail

Давно существующая ошибка DeFi Dapp до сих пор не исправлена отраслью (обновлено)

ZenGo возобновляет дебаты по поводу личной ответственности и защиты пользователей после обнаружения уязвимости, которая может слить все средства с кошельков пользователей.

Di Daniel Kuhn
Aggiornato 14 set 2021, 8:21 a.m. Pubblicato 23 mar 2020, 7:15 p.m. Tradotto da IA
Photo by Jon Moore on Unsplash
Photo by Jon Moore on Unsplash

DeFi имеет открытую проблему безопасности. Команда дизайнеров продуктов ZenGo, компании, занимающейся некастодиальными кошельками, обнаружила эксплойт, который может слить средства пользователей практически со всех кошельков dapp. Хотя уязвимость безопасности известна уже два года, Оуриэль Охайон, генеральный директор ZenGo, бьет тревогу, утверждая, что уязвимость представляет риск для пользователей, который не был полностью устранен.

La storia continua sotto
Non perderti un'altra storia.Iscriviti alla Newsletter The Protocol oggi. Vedi Tutte le Newsletter
Iscrivendoti, riceverai email sui prodotti CoinDesk e accetti i nostri termini di uso e politica sulla privacy.

Проблема безопасности,названный BaDApprove, — это не ошибка кода, а проблема с тем, как кошельки взаимодействуют с пользователями и устанавливают разрешения на транзакции по умолчанию.

Исследуя ряд известных кошельков, включая Metamask, Opera и imToken, Охайон обнаружил, что когда пользователи одобряют определенную транзакцию, они также часто одобряют все будущие транзакции по умолчанию. Это открывает двери для вредоносных децентрализованных приложений, которые могут взаимодействовать с пользовательскими средствами без их ведома или согласия, возможно, похищая целыеэфир (ETH) активы.

Смотрите также:Как приложения Ethereum получают рейтинг безопасности A+

Ошибка хорошо документирована, хотя жалоба Охайона вновь разжигает основополагающий конфликт в Криптo: должны ли Криптo делать все возможное для защиты пользователей или держатели Криптo должны нести полную ответственность за свое цифровое богатство?

Команда ZenGo организовала демонстрацию dapp, чтобы предупредить пользователей об этой потенциальной уязвимости. На видео показан пользователь, который отправляет несколько FRT (тестовая валюта) в «мошенническое приложение для обмена» и позволяет ему выводить указанные токены и автоматизировать транзакции. Затем dapp BaDApprove опустошает весь баланс пользователя.

Кошельки должны показывать эту информацию пользователям на видном месте и выдавать оповещения, если они считают, что происходит что-то подозрительное.

«Это как сказать: «Совершая этот банковский перевод, вы соглашаетесь, что получатель получит полный доступ к вашему банковскому счету», — сказал Охайон в Telegram. Ситуация усугубляется тем, что многие кошельки не сообщают своим пользователям о том, что эти разрешения остаются в силе, даже если пользователи прекращают использовать dapp.

CoinDesk связался с Санни Аггарвалом, научным сотрудником Tendermint и Cosmos, который провел моделирование и также увидел последствия.

«Если приложения Ethereum dapps хотят взаимодействовать с вашими токенами ERC20, им сначала нужно запросить одобрение, чтобы им разрешили перейти на некоторое их количество», — сказал Аггарвал в прямом сообщении. «Здесь произошло следующее: приложение dapp запросило одобрение чрезвычайно большого количества токенов, [не показывая], сколько именно одобряется».

Аггарвал использовал популярный кошелек Metamask, который, по его словам, показывал сумму транзакции только после того, как он нажимал «Показать больше деталей». «И даже тогда вы увидите, что она отображается как 1,1579…………e+59», или в научной нотации, «что слишком легко для кого-то неправильно истолковать и случайно подумать, что она одобряет около ~1,15 токенов».

Кошелек Metamask
Кошелек Metamask

«Это провал со стороны кошельков», — сказал он. «Кошельки должны показывать эту информацию пользователям на виду и выдавать оповещения, если они считают, что происходит что-то подозрительное».

Известная проблема

То, на что обратили внимание Охайон и ZenGo, было известной проблемой в сообществе DeFi (децентрализованные Финансы) в течение многих лет. Более важный вопрос заключается в том, почему это T было исправлено. Для некоторых в мире dapp ответ заключается в том, что это T столько недостаток или ошибка, сколько плохая функция.

В сентябре 2018 года Джордан Рэндольф, представитель децентрализованной биржи Ethex, описал проблему в посте на Medium. Единовременное одобрение на перемещение «почти бесконечного количества токенов… может быть удобным», — написал он. «Однако наличие почти бесконечного количества одобренных токенов означает, что все [ваши] токены доступны для передачи с помощью смарт-контракта».

Предустановка кошелька сводится к выбору между удобством и безопасностью, сказал он. Рэндольф не ответил на Request о комментарии.

См. также: Мнение: Благодаря лучшему пользовательскому опыту в этом году децентрализованные приложения станут мейнстримом

«Dapps, которые предлагают только ONE опцию — одобрение огромного количества токенов — таят в себе фатальную уязвимость безопасности».

За последние несколько недель ZenGo поднимал этот вопрос перед рядом известных кошельков, часто получая отпор.

«Эта проблема — известный риск, требующий взаимодействия с пользователем. Мы уже четко уведомили пользователя, когда он входит в стороннее dapp. Но мы все равно благодарим вас за ваш отчет», — сказал представитель imToken Талу Беэри, соучредителю ZenGo, в Twitter.

В интервью CoinDesk генеральный директор imToken Бен Хе заявил: «Это не уязвимость безопасности, а нехорошая традиция для всей экосистемы Ethereum , когда большинство приложений dapps/DeFi Request неограниченный доступ у пользователей».

По его словам, для решения этой проблемы браузер dapp imToken имеет два всплывающих модальных окна. ONE появляется, когда пользователь впервые посещает URL dapp, а второе всплывает, запрашивая согласие пользователя перед транзакцией.

Уриэль Охайон, генеральный директор ZenGo
Уриэль Охайон, генеральный директор ZenGo

«Крайне важно, чтобы пользователь подписывал транзакции с осторожностью, и мы считаем, что это правильное и дружелюбное напоминание сообществу», — сказал он, добавив, что компания «совершенствует свой пользовательский интерфейс, чтобы устранить опасения».

Metamask представила аналогичный ответ на вопрос о неограниченных разрешениях. «Это на самом деле безопасная функция, которую пользователи регулярно используют ответственно. Это не какая-то ошибка или проблема», — сказал человек из службы поддержки MetaMask.

«[T]Стандарт ERC-20 не является неотъемлемой проблемой, но [он] имеет основополагающее значение для обеспечения взаимодействия смарт-контрактов с токенами», — сказал он.

Компания проявила инициативу, добавив меры безопасности, такие как всплывающие сообщения с просьбой подтвердить отправку средств и предоставив пользователям возможность корректировать утвержденную сумму в расширенных настройках.

Смотрите также:США следует использовать стейблкоины для экстренных выплат в связи с коронавирусом

Кроме того, по словам представителя, Metamask «планирует предоставить пользователям еще больше контроля», например, за счет функций, упрощающих отмену этого разрешения.

Охайон также сослался на Brave и Coinbase, вынесшие «значимое предупреждение», хотя это не устраняет риск того, что злоумышленники могут использовать уязвимости пользователей dapp.

«Некоторые компромиссы в области безопасности, которые могли быть приемлемыми в эпоху, когда пользователей было мало и они были высокотехничны, неприемлемы, когда DeFi становится мейнстримом, привлекая множество нетехнических пользователей и оперируя Криптo токенами на миллиарды долларов США» — написал в своем блоге Алекс Манускин, исследователь ZenGo.

Он считает, что если Криптo когда-либо станет мейнстримом, необходимо будет принять надлежащие меры безопасности, чтобы гарантировать, что новые пользователи не будут подвергаться эксплуатации.

Похожая проблема была поднята две недели назад после Криптo флэша, когда вопрос о торговле «автоматические выключатели” возникли. Для многих эти меры предосторожности противоречат Криптo децентрализации и личной автономии.

ОБНОВЛЕНИЕ: В ответ на исследование ZenGo представитель imToken Филипп Зайферт связался с нами и сообщил, что компания добавит push-уведомления для транзакций и возможность редактирования квот.

«Хотя это T мешает пользователям устанавливать неограниченные лимиты, мы уверены, что это помогает принимать обоснованные решения», — говорится в сообщении. imToken пост Medium.

SecurityWalletsERC-20ZenGo
Daniel Kuhn

Daniel Kuhn was a deputy managing editor for Consensus Magazine, where he helped produce monthly editorial packages and the opinion section. He also wrote a daily news rundown and a twice-weekly column for The Node newsletter. He first appeared in print in Financial Planning, a trade publication magazine. Before journalism, he studied philosophy as an undergrad, English literature in graduate school and business and economic reporting at an NYU professional program. You can connect with him on Twitter and Telegram @danielgkuhn or find him on Urbit as ~dorrys-lonreb.

X icon
CoinDesk News Image
Ultime Notizie Cripto
Article image

Тестовое исследовательское статья.

22 mag 2025

(CJ/Unsplash)

Фьючерсы на XRP начали торговаться на CME - Хьюберт Тест, 21 мая.

21 mag 2025

Bitcoin (BTC) price on May 19 (CoinDesk)

{{Bitcoin}} достиг $105 тыс.; эмитент крипто-ETF прогнозирует рост на 35%

19 mag 2025

JPMorgan Chase CEO Jamie Dimon (Photo by Kevin Dietsch/Getty Images)

JPMorgan разрешит клиентам покупать Bitcoin, заявил Джейми Даймон.

19 mag 2025

DOGE-USD 24-hour chart shows 4.91% drop, ending at $0.2221 on May 19, 2025

Dogecoin находит поддержку после резкого падения, так как быки восстанавливают импульс.

19 mag 2025

TON-USD 24-hour chart shows 6.98% decline, ending at $2.9261 on May 19, 2025

Toncoin (TON), связанный с Telegram, обвалился на 8% после пробоя критической поддержки на уровне $3.00.

19 mag 2025

Storie Da Non Perdere
TON-USD 24-hour chart shows 6.98% decline, ending at $2.9261 on May 19, 2025

Toncoin (TON), связанный с Telegram, обвалился на 8% после пробоя критической поддержки на уровне $3.00.

19 mag 2025

hack keys

Кредиторы WazirX поддерживают план реструктуризации, чтобы выплатить жертвам взлома 230 миллионов долларов

8 apr 2025

Dubai

Ripple подписывает контракты с еще двумя платежными системами в ОАЭ

19 mag 2025

Mike Novogratz, Galaxy founder and CEO, speaks at Consensus 2024 (CoinDesk/Shutterstock/Suzanne Cordiero)

Исследовательская фирма утверждает, что аргументы в пользу Galaxy Digital — это центры обработки данных ИИ, а не майнинг Bitcoin

19 mag 2025

(CJ/Unsplash)

XRP Futures Start Trading on CME

19 mag 2025

(CJ/Unsplash)

Фьючерсы на XRP начали торговаться на CME - Хьюберт Тест, 21 мая.

21 mag 2025

Restano solo 2 articoli questo mese.

Iscriviti gratis

Chi Siamo

  • Chi Siamo
  • Testata
  • Carriere
  • Notizie CoinDesk
  • Crypto API Documentation

Contatto

  • Contattaci
  • Accessibilità
  • Pubblicizza
  • Mappa del Sito
  • System Status
DISCLOSURE & POLICES
CoinDesk è un premiato organo di stampa che si occupa del settore delle criptovalute. I suoi giornalisti rispettano un rigido insieme di politiche editoriali. CoinDesk ha adottato una serie di principi volti a garantire l'integrità, l'indipendenza editoriale e l'assenza di pregiudizi delle sue pubblicazioni. CoinDesk fa parte del gruppo Bullish, che possiede e investe in attività di asset digitali e asset digitali. I dipendenti di CoinDesk, compresi i giornalisti, possono ricevere compensi azionari del gruppo Bullish. Bullish è stata incubata dall'investitore tecnologico Block.one.
EticaPrivacyTermini di UtilizzoCookie SettingsDo Not Sell My Info

© 2025 CoinDesk, Inc.
X icon
Зарегистрироваться
  • Новости
    Torna al menu
    Новости
    • Рынки
    • Финансы
    • Технологический
    • Политика
    • Фокус
  • Цены
    Torna al menu
    Цены
    • Данные
      Torna al menu
      Данные
      • Торговые данные
      • Производные
      • Данные книги заказов
      • Данные в цепочке
      • API
      • Исследования и идеи
      • Каталог данных
      • ИИ и машинное обучение
    • Индексы
      Torna al menu
      Индексы
      • Индексы мультиактивов
      • Справочные ставки
      • Стратегии и услуги
      • API
      • Инсайты и объявления
      • Документация и управление
    • Исследовать
      Torna al menu
      Исследовать
      • Мероприятия
        Torna al menu
        Мероприятия
        • Консенсус 2025
        • Консенсус 2025 Покрытие
      • Партнерский материал
        Torna al menu
        Партнерский материал
        • Лидерство мысли
        • Пресс-релизы
        • МонетаW
        • МЕКС
        • Фемекс
        • Рекламировать
      • Видео
        Torna al menu
        Видео
        • CoinDesk Ежедневно
        • Шорты
        • Выбор редактора
      • Подкасты
        Torna al menu
        Подкасты
        • Сеть подкастов CoinDesk
        • Рынки Ежедневно
        • Поколение С
        • Освобожденный с Лорой Шин
        • Горнодобывающая установка
      • Рассылка
        Torna al menu
        Рассылка
        • Узел
        • Криптo Дневник Америки
        • Состояние Криптo
        • Криптo Лонг и Шорт
        • Криптo для советников
      • Вебинары и Мероприятия
        Torna al menu
        Вебинары и Мероприятия
        • Консенсус 2025
        • Конференция по Политика и регулированию
      Selezionare la lingua
      Italiano itEnglish enEspañol esFilipino filFrançais frPortuguês pt-brРусский ruУкраїнська uk