蓝冠|蓝冠代理-蓝冠总代平台-首页-www.shywt.com

招商主管Q374919
蓝冠总代平台

蓝冠怎么样,长期恶化的DeFi Dapp漏洞仍然没有被行

蓝冠客户端

蓝冠资本,我的蓝冠

这个名为BaDApprove的安全问题不是代码错误,而是钱包如何与用户交互以及默认设置交易权限的问题。
 
Ohayon研究了一些备受瞩目的钱包——包括Metamask、Opera和imToken——发现,当用户批准一项特定的交易时,他们通常也默认批准了所有未来的交易。这为恶意去中心化的应用程序在用户不知情或未经其同意的情况下与用户资金进行交互打开了大门,可能会窃取整个以太(ETH)的股份。
 
尽管Ohayon的抱怨重新点燃了加密领域的一场重大冲突,但这个漏洞已被充分记录在案:加密公司应该尽其所能保护用户,还是密码持有者应该对他们的数字资产财富负全部责任?
 
ZenGo团队建立了一个dapp演示来提醒用户这个潜在的漏洞。视频显示,一名用户向“流氓交换应用程序”发送了几枚FRTs(一种testnet货币),并允许该程序提取令牌并自动进行交易。然后,BaDApprove dapp会耗尽用户的全部余额。
 
“这就像在说,‘通过这个银行转账,你就接受了接收者可以完全进入你的银行账户,’”奥哈扬在Telegram上说。即使用户停止使用dapp,许多钱包也不会将这些权限告知用户,这一事实使情况进一步恶化。
 
CoinDesk联系了Tendermint和Cosmos的研究科学家桑尼·阿加瓦尔(Sunny Aggarwal),他进行了模拟,也看到了结果。
 
“Ethereum dapps,如果他们想要与你的ERC20代币进行交互,首先需要获得批准才能升级到一些代币,我的蓝冠,蓝冠客户端”Aggarwal在一条直接消息中说。“这里发生的事情是,新闻出版总署要求批准数量极高的令牌,(没有显示)批准了多少。”
 
阿加瓦尔使用了广受欢迎的Metamask钱包,他说它只在他点击“显示更多细节”后显示交易金额。“即使在那时,你也会看到它显示为1.1579……e+59,”或者用科学符号表示,“这太容易让人误解并误以为它是在表示赞成,比如~1.15代币。”
 
库恩
 
Metamask钱包
 
“这是钱包方面的失败,”他说。“钱包应该把这些信息放在最前面、最中间的位置,并在用户觉得有什么不对劲的时候发出警报。”
 
已知问题
 
Ohayon和ZenGo所强调的是DeFi(分散的金融)社区多年来的一个众所周知的问题。更大的问题是为什么这个问题没有得到解决。对于dapp界的一些人来说,答案是,与其说它是一个缺陷或缺陷,不如说是一个不好的特性。
 
2018年9月,去中心化交易所Ethex的代表乔丹·伦道夫(Jordan Randolph)在一篇媒体文章中概述了这个问题。他写道,一次性批准移动“几乎无限数量的代币……可能会很方便。”“然而,获得批准的令牌数量几乎是无限的,这意味着所有(您的)令牌都可以通过智能合约进行转移。”
 
他说,钱包预置归结起来就是方便和安全之间的选择。伦道夫没有回应记者的置评请求。
 
“只提供一种选择——批准大量令牌——的应用程序存在致命的安全缺陷。”
在过去的几周里,曾戈提出了这个问题,许多人的钱包都很显眼,但经常遭到拒绝。
 
这个问题是一个已知的风险,需要用户交互。我们已经明确通知用户何时进入第三方dapp。但我们仍然感谢你们的报告。”
 
imToken首席执行官Ben He在接受CoinDesk采访时表示:“大多数dapps/DeFi应用程序都要求用户提供无限的补贴,这并不是一个安全漏洞,而是整个Ethereum生态系统的一个不好的惯例。”
 
他说,为了解决这个问题,imToken dapp浏览器有两个弹出模式。一种是当一个用户第一次访问dapp URL时,第二个用户在进行交易之前会弹出请求用户同意的窗口。
 
奥哈永,ZenGo的首席执行官
 
他说:“用户谨慎地签署交易是很重要的,我们认为这是对社区恰当和友好的提醒。”他补充说,公司正在“完善我们的用户界面,以减轻人们的担忧。”
 
当查询无限权限时,Metamask给出了类似的响应。“这实际上是一个安全的功能,用户经常负责任地使用它。这不是什么bug或问题,”MetaMask支持热线的一位用户说。
 
“这不是ERC-20标准的固有问题,但它是允许智能契约与令牌进行互操作的基础,”他说。
 
该公司一直在积极地增加保障措施,比如弹出消息,要求确认发送资金,并让用户在高级设置下调整批准的金额。
 
此外,据该代表称,Metamask“计划给予用户更多的控制权”,比如可以更容易地取消这项津贴的功能。
 
Ohayon还提到Brave和Coinbase显示了一个“有意义的警告”,尽管这并不能消除恶意行为者利用dapp用户的风险。
 
“当DeFi成为主流,获得许多非技术用户,并处理数十亿美元的加密令牌时,我的蓝冠,蓝冠客户端一些在用户稀缺、技术含量高的时代可以接受的安全妥协是不可接受的,”ZenGo研究员Alex kin在一篇博客文章中写道。
 
他认为,如果加密要成为主流,就必须采取适当的安全措施,以确保新用户不被利用。
 
两周前,在密码闪光之后,当交易“断路器”的问题出现时,人们也提出了类似的问题。对许多人来说,这些预防措施与权力下放和个人自治的神秘精神相抗衡。

蓝冠总代

蓝冠|蓝冠代理-蓝冠总代平台,谢谢支持!

蓝冠总代平台