暗号通貨ウォレット会社 ZenGo は、DApp ウォレットの一般的なセキュリティ上の欠陥を示すテストネットを開発しました。 公開した記事によると、このDAppウォレットのセキュリティ上の欠陥により、ウォレットに予約されているユーザーのトークンへの完全なアクセスが許可されるという。
ZenGo によると、ほぼすべての DApp には、ユーザーが知らず知らずのうちに自分の資産に対する全権限を DApp スマート契約に付与してしまう弱点が存在していることが実証されていtrac。 この弱点を完全に明らかにするために、 baDAPProve と呼ばれる「不正な」トークン交換分散型アプリを備えた公開テストネットを作成しました
「その結果、DApp がセキュリティ上の問題に対して脆弱であるか、そもそも不正である場合、攻撃者はこれらの非常に過剰な権限を悪用し、ユーザーのさらなる同意なしに、DApp のユーザーの保有物 (承認されたトークン) をすべて盗むことができます。 ユーザーが DApp を使用しなくなった場合でも、将来いつでもそうすることができます。」
DAppウォレットのセキュリティ上の欠陥が実証される
DApp ウォレット ユーザーがシステム上で一定量の FTR トークンを承認すると、baDAPProve はユーザーのウォレット内のすべての FTR トークンをクリアします。 デモでは、ウォレットの脆弱性がもたらす脅威を強調しています。
現在、ZenGo はこのセキュリティ脅威に対するソリューションを開発中です。 DApp ウォレットのセキュリティ上の欠陥は数年前に発見されましたが、ZenGo は、開発者がセキュリティ上の欠陥によってもたらされる危険性について十分な認識を醸成していないと考えています。
暗号通貨ウォレットプロバイダーは、についてユーザーに警告することをためらっているウォレットプロバイダーの中で、Opera、Imtoken、Trustウォレットを。 トラスト・ウォレットは、ZenGoからの相談を受けてネットワークを刷新することを明らかにした。
ユーザーに警告する企業の中にCoinbase
さらに、ZenGo は、Brave ウォレットと Metamask ウォレットの両方が、DApps がアクセスできる量を規制する高度な調整をユーザーに発行していることを発見しました。 一方、Coinbaseはセキュリティ上の欠陥によってもたらされる危険についてユーザーに事前に警告しています。