يُعالج تحديث ثغرة أمنية في رموز ZenGo DeFi في بعض محافظ العملات الرقمية. كانت هذه الثغرة تسمح للمخترقين بالوصول إلى أموال المستخدمين في محافظ العملات الرقمية، بما في ذلك Opera وTrustWallet وimToken. توفر ZenGo محفظة عملات رقمية بدون مفاتيح، وهي غير متأثرة بهذه الثغرة الأمنية.
تزعم شركة ZenGo، المصممة الشهيرة لمحفظات العملات الرقمية، أنها حلت ثغرة أمنية شائعة في تطبيقات لامركزية (dApps) تؤثر على محافظ العملات الرقمية البارزة. ويُعدّ المستخدمون الذين يربطون تطبيقات Ethereum بمحافظ العملات الرقمية الأكثر عرضةً للوصول غير المصرح به من قِبل جهات خارجية.
إصلاح ثغرة أمنية في رمز ZenGo يعالج ثغرة واضحة ولكن تم تجاهلها
في منشورها الرسمي، شرحت ZenGo بالتفصيل كيف عالجت الشركة ثغرة أمنية شائعة في تطبيقات لامركزية (dapps) تسببت في فوضى عارمة. أوضح الفريق أنه خلال المعاملات الروتينية، تطلب العديد من التطبيقات اللامركزية موافقة المستخدم على مبلغ محدد. ومع ذلك، يمنح المستخدمون، دون علمهم، التطبيق إمكانية الوصول إلى كامل رصيدهم في المحفظة. تسمح هذه الثغرة الأمنية للمخترقين بالوصول إلى محفظة المستخدم لأغراض خبيثة. غالبًا ما تستغل التطبيقات اللامركزية الخبيثة هذه الثغرة للوصول إلى أموال المستخدمين وسحبها من محافظهم.
في مرحلة ربط التطبيق اللامركزي، يمنح المستخدمون، دون علمهم، صلاحية الوصول الكاملة إلى أموالهم للعقد الذكي trac ، بغض النظر عن المبلغ المطلوب فعليًا. حتى عند إجراء معاملة بقيمة دولار واحد، تصبح جميع أموال المستخدم عرضة للاستغلال. يمكن للتطبيقات اللامركزية الخبيثة استغلال هذه الثغرة لسرقة أموال المستخدمين. والأمر الأكثر إثارة للقلق هو أن محافظ العملات الرقمية لا تُنبه المستخدمين إلى هذه المعاملات غير المصرح بها.
كيف يحمي إصلاح ثغرة رمز ZenGo أموالك؟
أطلقت ZenGo على هذه الثغرة اسم "baDAPProve". ومن بين محافظ العملات الرقمية الأكثر تأثراً بها: imToken وTrust Wallet وOpera. ولا يدرك مستخدمو هذه المحافظ أن جميع عملاتهم الرقمية معرضة للخطر خلال عملية واحدة. وقد أثبتت ZenGo وجود هذه الثغرة من خلال شبكة اختبار. الشركات المصنعة للمحافظ بهذه الثغرة في منتجاتها.
تم تطبيق إصلاح ثغرة أمنية في رموز ZenGo لأول مرة في ميزة ZenGo Savings المميزة القائمة على نظام Compound. وقد تم إصلاح المشكلة في تطبيقات أخرى أيضًا. يتيح هذا الإصلاح الوصول إلى المبلغ المطلوب للمعاملة المحددة فقط، وليس إلى كامل رصيد الرموز. حتى في حال إجراء المعاملتين في وقت واحد، يلزم الحصول على موافقة المستخدم بشكل منفصل لكل منهما.
