Специалисты компании по безопасности блокчейнов Certik опубликовали новый отчет в социальной сети Твиттер (ныне X). Они отметили провели несколько исследований, в результате которых выявили важную проблему. Специалисты проводили «несвязанный тест на проникновение» и обнаружили XSS-уязвимость в Verify API WalletConnect.
Эксперты напомнили, что WalletConnect — популярный протокол, который связывает децентрализованные приложения (dApps) с криптовалютными кошельками. По словам исследователей, механизм эксплойта включал создание фишингового сайта. Он нужен, чтобы обманом заставить пользователей авторизовать вредоносные транзакции, используя доверие к имени WalletConnect.
Специалисты отметили, что разработчики проекта быстро отреагировали на отчет об ошибке. Им пришлось обновить функцию validate_format, чтобы снизить риск и повысить безопасность протокола.
По заверению экспертов, данный инцидент служит напоминанием об актуальности рисков безопасности в секторе Web 2.0 и в развивающейся среде Web 3.0. Это подчеркивает важность регулярных проверок и проявления бдительности, а также принятия превентивных мер.
«Успешная идентификация и устранение уязвимости не только защищает пользователей, но и повышает важность упреждающих проверок безопасности для быстрого выявления и устранения потенциальных угроз», — написала пресс-служба Certik.
WalletConnect — это протокол для связи, который обеспечивает безопасное и надежное соединение между кошельком пользователя и dApp, позволяя им взаимодействовать друг с другом. Принцип работы основан на использовании QR-кодов и шифровании с открытым ключом.
WalletConnect стал широко используемым протоколом в экосистеме блокчейнов. Он существенно облегчает процесс взаимодействия между пользователями и dApps, устраняя необходимость установки или настройки дополнительного программного обеспечения.
