يعمل إصلاح ثغرة ZenGo token على حل DeFi dapp في بعض محافظ العملات المشفرة. أتاحت هذه الثغرة للمتسللين إمكانية الوصول إلى أموال المستخدمين في محافظ العملات المشفرة، بما في ذلك Opera وTrustWallet وimToken. يوفر ZenGo محفظة تشفير بدون مفتاح لا تتأثر بثغرة dapp المذكورة.
يدعي ZenGo، مصمم محفظة العملات المشفرة الشهير، أنه قد نجح في حل مشكلة استغلال التطبيقات اللامركزية المنتشرة التي تؤثر على محافظ العملات الرقمية البارزة. المستخدمون الذين يربطون تطبيقات Ethereum dapps بمحافظ العملات المشفرة هم الأكثر عرضة للوصول غير المصرح به من طرف ثالث.
يعالج إصلاح الثغرات الأمنية في رمز ZenGo ثغرة واضحة تم تجاهلها بعد
في منشورهم الرسمي، توضح ZenGo بالتفصيل كيف تمكنت الشركة من حل مشكلة استغلال التطبيقات اللامركزية الشائعة التي تسببت في حدوث فوضى واسعة النطاق. يوضح الفريق أنه خلال معاملة روتينية، تطلب العديد من التطبيقات اللامركزية موافقة المستخدم على مبلغ محدد. ومع ذلك، يمنح المستخدمون دون قصد التطبيق اللامركزي حق الوصول إلى كامل الممتلكات الموجودة في المحفظة. يسمح هذا الخلل الأمني للمتسللين بالوصول إلى محفظة المستخدم لأغراض ضارة. غالبًا ما تستغل تطبيقات Maleficent هذه الثغرة للوصول إلى أموال المستخدمين واستنزاف المحافظ.
في مرحلة اتصال التطبيق اللامركزي، يمنح المستخدمون دون قصد وصولاً كاملاً للأموال إلى العقد الذكي trac بالتطبيق اللامركزي، بغض النظر عن المبلغ الفعلي المطلوب. حتى عندما يقوم المستخدم بإجراء معاملة بقيمة دولار واحد، فإن أمواله بالكامل معرضة للاستغلال المحتمل. يمكن لتطبيقات Maleficent استخدام هذه النافذة لسرقة أموال المستخدمين. والأمر الأكثر إثارة للخوف هو أن محافظ العملات المشفرة لا تعلم المستخدمين بشأن مثل هذه المعاملات غير المصرح بها.
كيف يعمل إصلاح الثغرات الأمنية في رمز ZenGo على حماية أموالك
أطلق ZenGo على هذه الثغرة الأمنية اسم "baDAPProve". ومن بين محافظ العملات المشفرة المتأثرة بشكل شائع، imToken وTrust Wallet وOpera. لا يدرك مستخدمو هذه المحافظ أن ممتلكاتهم من الرموز المميزة بالكامل تُترك مفتوحة على مصراعيها أثناء معاملة واحدة. أظهر ZenGo الثغرة عبر شبكة الاختبار. صانعي المحافظ الثلاثة المذكورين أعلاه بشأن الثغرة الموجودة في منتجاتهم.
تم تنفيذ إصلاح الثغرات الأمنية في رمز ZenGo لأول مرة في ميزة ZenGo Savings المستندة إلى المركب الخاصة بالشركة. تم إصلاح المشكلة للتطبيقات الأخرى أيضًا. يتيح الإصلاح إمكانية الوصول فقط إلى المبلغ المطلوب لمعاملة معينة وليس إلى كامل مقتنيات الرمز المميز. حتى لو كانت كلتا المعاملتين متزامنتين، يلزم الحصول على موافقة مستخدم منفصلة لكليهما.
