Le correctif de vulnérabilité du token ZenGo résout la DeFi dApps) et certains portefeuilles crypto. Cette faille permettait aux pirates d'accéder aux fonds des utilisateurs dans des portefeuilles tels qu'Opera, TrustWallet et imToken. ZenGo propose un portefeuille crypto sans clé, totalement insensible à cette vulnérabilité.
ZenGo, le célèbre concepteur de portefeuilles crypto, affirme avoir résolu la faille de sécurité affectant les principaux portefeuilles de cryptomonnaies via des applications décentralisées (dApps). Les utilisateurs qui connectent des dApps Ethereum à leurs portefeuilles crypto sont particulièrement vulnérables aux accès non autorisés par des tiers.
Le correctif de vulnérabilité du jeton ZenGo corrige une faille évidente mais ignorée
Dans leur publication officielle, ZenGo détaille comment l'entreprise a résolu une faille de sécurité courante des applications décentralisées (dApps) qui causait des ravages importants. L'équipe explique que lors d'une transaction classique, de nombreuses dApps demandent l'approbation de l'utilisateur pour un montant précis. Or, les utilisateurs accordent sans le savoir à la dApp l'accès à la totalité des fonds de leur portefeuille. Cette faille de sécurité permet aux pirates d'accéder au portefeuille de l'utilisateur à des fins malveillantes. Les dApps malveillantes exploitent souvent cette vulnérabilité pour accéder aux fonds des utilisateurs et vider leurs portefeuilles.
Lors de la connexion à l'application décentralisée (dApp), les utilisateurs autorisent, à leur insu, l'accès total à leurs fonds via le contrat intelligent trac la dApp, quel que soit le montant nécessaire. Même pour une transaction de seulement 1 $, l'intégralité de leurs fonds est exposée à un risque d'exploitation. Des dApps malveillantes peuvent exploiter cette faille pour voler les fonds des utilisateurs. Plus inquiétant encore, les portefeuilles crypto ne les avertissent pas de ces transactions non autorisées.
Comment la correction de la vulnérabilité du jeton ZenGo protège vos fonds
ZenGo a nommé cette vulnérabilité « baDAPProve ». Parmi les portefeuilles crypto les plus fréquemment touchés figurent imToken, Trust Wallet et Opera. Les utilisateurs de ces portefeuilles ignorent souvent que la totalité de leurs avoirs en cryptomonnaie est exposée lors d'une seule transaction. ZenGo a démontré l'existence de cette faille via un réseau de test. Les trois fabricants de portefeuilles ont été informés de cette vulnérabilité dans leurs produits.
La correction de la vulnérabilité du jeton ZenGo a d'abord été implémentée dans la fonctionnalité phare d'épargne ZenGo basée sur Compound. Le problème a également été résolu pour d'autres applications. Cette correction permet uniquement d'accéder au montant nécessaire pour la transaction concernée, et non à la totalité des jetons détenus. Même si les deux transactions sont simultanées, une approbation distincte de l'utilisateur est requise pour chacune d'elles.
