Rejoignez-Nous sur

Le bug DeFi Dapp longue durée n'est toujours pas corrigé par l'industrie

kuhn

News

Le bug DeFi Dapp longue durée n'est toujours pas corrigé par l'industrie

DeFi a un problème de sécurité ouvert. Une équipe de concepteurs de produits pour ZenGo, une société de portefeuille non dépositaire, a trouvé un exploit qui peut drainer les fonds des utilisateurs de presque tous les portefeuilles dapp. Alors que la faille de sécurité est connue depuis deux ans, Ouriel Ohayon, PDG de ZenGo, tire la sonnette d'alarme, arguant que la faille présente un risque pour les utilisateurs qui n'a pas été entièrement résolu.

Le problème de sécurité, nommé BaDApprove, n'est pas un bogue de code mais un problème avec la façon dont les portefeuilles interagissent avec les utilisateurs et définissent les autorisations de transaction par défaut.

En recherchant un certain nombre de portefeuilles de premier plan – y compris Metamask, Opera et imToken – Ohayon a constaté que lorsque les utilisateurs approuvent une transaction spécifique, ils approuvent également souvent toutes les transactions futures par défaut. Cela ouvre la porte à des applications décentralisées malveillantes pour interagir avec les fonds des utilisateurs à leur insu ou sans leur consentement, en pillant éventuellement éther (ETH).

Voir également: Comment les applications Ethereum obtiennent des notes de sécurité A +

Le bogue est bien documenté, bien que la plainte d'Ohayon ravive un conflit séminal dans la cryptographie: les sociétés de cryptographie devraient-elles faire ce qu'elles peuvent pour protéger les utilisateurs, ou les détenteurs de crypto devraient-ils assumer l'entière responsabilité de leur richesse en actifs numériques?

L'équipe ZenGo a mis en place une démonstration dapp pour alerter les utilisateurs de cet exploit potentiel. La vidéo montre un utilisateur qui envoie quelques FRT (une monnaie de testnet) à «l'application d'échange de voyous» et lui permet de retirer lesdits jetons et d'automatiser les transactions. Ensuite, l'application BaDApprove draine la totalité du solde de l'utilisateur.

Les portefeuilles devraient montrer ces informations aux utilisateurs et avoir des alertes s'ils pensent que quelque chose de sommaire se passe.

"C'est comme dire," en faisant ce virement bancaire, vous acceptez que le destinataire reçoive un accès complet à votre compte bancaire "", a déclaré Ohayon sur Telegram. La situation est aggravée par le fait que de nombreux portefeuilles ne communiquent pas à leurs utilisateurs ces autorisations, même si les utilisateurs cessent d'utiliser le dapp.

Contacté par CoinDesk, Sunny Aggarwal, chercheur à Tendermint et Cosmos, a exécuté la simulation et a également vu les conséquences.

"Ethereum dapps, s'ils veulent interagir avec vos jetons ERC20, doivent d'abord demander l'approbation pour être autorisés à passer à un certain nombre d'entre eux", a déclaré Aggarwal dans un message direct. "Ce qui s'est passé ici, c'est que le dapp a demandé d'approuver une quantité extrêmement élevée de jetons, (sans montrer) combien est approuvé."

Aggarwal a utilisé le populaire portefeuille Metamask, qui, selon lui, n'a montré le montant de la transaction qu'après avoir cliqué sur "Afficher plus de détails". "Et même alors, vous le verrez affiché sous la forme 1.1579 ………… e + 59", ou en notation scientifique, "ce qui est beaucoup trop facile pour quelqu'un de mal lire et de penser accidentellement qu'il approuve comme ~ 1.15 jetons."

kuhn
Portefeuille en métamask

"C'est un échec de la part des portefeuilles", a-t-il déclaré. "Les portefeuilles devraient montrer ces informations aux utilisateurs et avoir des alertes s'ils pensent que quelque chose de sommaire se passe."

Problème connu

Ce que Ohayon et ZenGo ont mis en évidence est un problème connu dans la communauté DeFi (finance décentralisée) depuis des années. La plus grande question est de savoir pourquoi cela n'a pas été corrigé. Pour certains dans le monde des dapps, la réponse est que ce n'est pas tant une faille ou un bug qu'une mauvaise fonctionnalité.

En septembre 2018, Jordan Randolph, un représentant d'Ethex, une bourse décentralisée, a décrit le problème dans un message moyen. Les approbations ponctuelles pour déplacer «une quantité presque infinie de jetons… peuvent être pratiques», a-t-il écrit. "Cependant, avoir un nombre presque infini de jetons approuvés signifie que tous vos jetons sont disponibles pour être transférés par le contrat intelligent."

Le portefeuille prédéfini se résume à un choix entre commodité et sécurité, a-t-il déclaré. Randolph n'a pas répondu à une demande de commentaire.

Voir aussi: AVIS: Grâce à Better UX, cette année, Dapps sera intégré

«Les Dapps qui n'offrent qu'une seule option – l'approbation d'un grand nombre de jetons – comportent une faille de sécurité fatale.»

Au cours des dernières semaines, ZenGo a soulevé le problème avec un certain nombre de portefeuilles de premier plan, souvent repoussés.

«Ce problème est un risque connu et nécessite une interaction de l'utilisateur. Nous avons déjà clairement informé l'utilisateur lorsqu'il saisit une application tierce. Mais nous vous remercions toujours pour votre rapport », a déclaré un représentant imToken à Tal Be'ery, cofondateur de ZenGo, sur Twitter.

Atteint par CoinDesk, Ben He, PDG d'imToken, a déclaré: «Ce n'est pas un exploit de sécurité, c'est une mauvaise convention pour l'ensemble de l'écosystème Ethereum que la plupart des applications dapps / DeFi demandent une allocation illimitée aux utilisateurs.»

Pour résoudre le problème, le navigateur imToken dapp dispose de deux modes contextuels, a-t-il déclaré. La première est lorsqu'un utilisateur pour la première fois visite l'URL dapp, et la seconde apparaît pour demander le consentement de l'utilisateur avant d'effectuer la transaction.

ohayon
Ouriel Ohayon, PDG de ZenGo

«Il est essentiel qu'un utilisateur signe les transactions avec prudence et nous voyons qu'il s'agit d'un rappel approprié et convivial à la communauté», a-t-il déclaré, ajoutant que la société «peaufine notre interface utilisateur (interface utilisateur) pour atténuer les inquiétudes».

Metamask a présenté une réponse similaire lorsqu'il a été interrogé sur les autorisations illimitées. «Il s'agit en fait d'une fonctionnalité sécurisée que les utilisateurs utilisent régulièrement de manière responsable. Ce n'est pas une sorte de bogue ou de problème », a déclaré un membre de la ligne d'assistance de MetaMask.

"(T) ici n'est pas un problème inhérent à la norme ERC-20, mais (il) est fondamental pour permettre aux contrats intelligents d'interagir avec les jetons", a-t-il déclaré.

L'entreprise a été proactive en ajoutant des garanties, comme des messages contextuels qui demandent une confirmation pour envoyer des fonds et permettent aux utilisateurs d'ajuster la somme approuvée dans les paramètres avancés.

Voir également: Les États-Unis devraient utiliser des Stablecoins pour les paiements d'urgence de coronavirus

De plus, selon le représentant, Metamask a «l'intention de donner aux utilisateurs encore plus de contrôle», comme des fonctionnalités facilitant la révocation de cette allocation.

Ohayon a également cité Brave et Coinbase comme affichant un «avertissement significatif», bien que cela ne supprime pas le risque que des acteurs malveillants puissent exploiter les utilisateurs de dapp.

«Certains compromis de sécurité qui auraient pu être acceptables à l'époque où les utilisateurs étaient rares et hautement techniques ne sont pas acceptables lorsque DeFi se généralise, acquiert de nombreux utilisateurs non techniques et gère des jetons cryptographiques dans les milliards (USD)», Alex Manuskin, ZenGo chercheur, a écrit dans un article de blog.

Il pense que si la cryptographie doit être généralisée, des garanties appropriées devront être mises en place pour s'assurer que les nouveaux utilisateurs ne sont pas exploités.

Un problème similaire a été soulevé il y a deux semaines à la suite du crypto flash, lorsque la question du trading "disjoncteurs»Est venu. Pour beaucoup, ces précautions rivalisent avec l'éthique crypto de la décentralisation et de l'autonomie personnelle.

Divulgation Lis Plus

Le leader des nouvelles de la blockchain, CoinDesk est un média qui vise les normes journalistiques les plus élevées et respecte un ensemble strict de politiques éditoriales. CoinDesk est une filiale opérationnelle indépendante de Digital Currency Group, qui investit dans les crypto-monnaies et les startups blockchain.

. (tagsToTranslate) Sécurité (t) Portefeuilles (t) ERC-20 (t) ZenGo



Traduction de l’article de Daniel Kuhn : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top