Jump to content
CryptoCurrency Forum / Форум о криптовалютах
Sign in to follow this  
RSS News

ZenGo рассказали о крупной уязвимости кошельков децентрализованных приложений

Recommended Posts

ZenGo рассказали о крупной уязвимости кошельков децентрализованных приложений.

Разработчики кошелька ZenGo запустили тестовую сеть, чтобы продемонстрировать уязвимость безопасности, свойственную многим кошелькам с поддержкой децентрализованных приложений (DApp).

Как поясняют разработчики, при авторизации определённой транзакции такие кошельки предоставляют доступ ко всему объёму токена в распоряжении пользователя: «В результате, если DApp имеет проблему безопасности или является злонамеренным изначально, организатор атаки может воспользоваться чрезмерно широкими полномочиями, чтобы украсть все активы пользователя в этом DApp (в одобренном токене), не запрашивая разрешение пользователя. Он может сделать это в любой момент в будущем, даже если пользователь перестанет использовать DApp».

По словам ZenGo «почти все DApp» имеют эту уязвимость, из-за чего пользователь без собственного ведома предоставляет смарт-контракту доступ ко всем активам в определённом токене.

Для демонстрации уязвимости ZenGo запустили тестовую сеть и создали в ней вредоносное приложение по обмену токенов baDAPProve. При авторизации транзакции с некоторым количеством токенов FRT baDAPProve выводит все токены FRT из кошелька.

В настоящее время разработчики находятся в процессе подготовки фикса для этой уязвимости. Они утверждают, что о ней известно на протяжении нескольких лет, однако другие команды, в том числе Opera, Imtoken и Trust Wallet, ничего в связи с этим не предпринимают и не предупреждают пользователей.

Разработчики Trust Wallet после уведомления ZenGo пообещали добавить соответствующее предупреждение. Кошельки Brave и Metamask имеют продвинутые настройки, благодаря которым пользователь сам может решать, доступ к какой сумме токенов он предоставляет DApp. Coinbase уже уведомляет пользователей о возможной угрозе.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...