ZenGo рассказали о крупной уязвимости кошельков децентрализованных приложений

Делитесь и голосуйте:

Разработчики кошелька ZenGo запустили тестовую сеть, чтобы продемонстрировать уязвимость безопасности, свойственную многим кошелькам с поддержкой децентрализованных приложений (DApp).

Как поясняют разработчики, при авторизации определённой транзакции такие кошельки предоставляют доступ ко всему объёму токена в распоряжении пользователя: «В результате, если DApp имеет проблему безопасности или является злонамеренным изначально, организатор атаки может воспользоваться чрезмерно широкими полномочиями, чтобы украсть все активы пользователя в этом DApp (в одобренном токене), не запрашивая разрешение пользователя. Он может сделать это в любой момент в будущем, даже если пользователь перестанет использовать DApp».

По словам ZenGo «почти все DApp» имеют эту уязвимость, из-за чего пользователь без собственного ведома предоставляет смарт-контракту доступ ко всем активам в определённом токене.

Для демонстрации уязвимости ZenGo запустили тестовую сеть и создали в ней вредоносное приложение по обмену токенов baDAPProve. При авторизации транзакции с некоторым количеством токенов FRT baDAPProve выводит все токены FRT из кошелька.

В настоящее время разработчики находятся в процессе подготовки фикса для этой уязвимости. Они утверждают, что о ней известно на протяжении нескольких лет, однако другие команды, в том числе Opera, Imtoken и Trust Wallet, ничего в связи с этим не предпринимают и не предупреждают пользователей.

Разработчики Trust Wallet после уведомления ZenGo пообещали добавить соответствующее предупреждение. Кошельки BRAVE и Metamask имеют продвинутые настройки, благодаря которым пользователь сам может решать, доступ к какой сумме токенов он предоставляет DApp. COINBASE уже уведомляет пользователей о возможной угрозе.

Больше горячих новостей

Государство и общество

Ждем новостей

Нет новых страниц

Следующая новость