Компания ZenGo, занимающаяся криптокошельками, разработала тестовую сеть, чтобы продемонстрировать распространенную уязвимость в безопасности кошелька DApp . Согласно статье, опубликованной 23 марта компанией, занимающейся криптокошельками, эта уязвимость в безопасности кошелька DApp предоставит полный доступ к токенам пользователя, зарезервированным в кошельке.
Согласно ZenGo, почти все DApp продемонстрировали слабость, которая заставляет пользователей неосознанно предоставлять смарт-контрактам DApp trac власть над своими активами. Чтобы полностью продемонстрировать эту слабость, фирма криптокошельков создала общедоступную тестовую сеть, в которой есть децентрализованное приложение для обмена токенами «мошенников» под названием baDAPProve:
«В результате, если децентрализованное приложение уязвимо из-за проблем с безопасностью или является мошенническим с самого начала, злоумышленники могут злоупотреблять этими чрезвычайно чрезмерными привилегиями, чтобы украсть ВСЕ активы пользователей DApp (в одобренных токенах) без какого-либо дальнейшего согласия пользователя. Они могут сделать это в любой момент в будущем, даже если пользователь больше не использует DApp».
Обнаружена уязвимость в безопасности кошельков DApp
Когда пользователь кошелька DApp санкционирует определенное количество токенов FTR в системе, baDAPProve очищает все токены FTR в кошельке пользователя. Демонстрация подчеркивает угрозы, связанные с хрупкостью кошельков.
На данный момент ZenGo разрабатывает решение этой угрозы безопасности. Уязвимость в безопасности кошельков DApp была обнаружена несколько лет назад, но ZenGo считает, что разработчики недостаточно осведомлены об опасностях, связанных с этой уязвимостью.
Поставщик криптокошельков выделил Opera, Imtoken и кошелек Trust среди поставщиков кошельков, которые не решаются предупредить пользователей об уязвимости в безопасности. Trust Wallet сообщил, что обновит свою сеть после консультации с ZenGo.
Coinbase среди фирм, которые предостерегают пользователей
Кроме того, ZenGo обнаружила, что кошельки Brave и Metamask предоставляют пользователям расширенные настройки, которые регулируют сумму, доступную DApps. С другой стороны, Coinbase заранее предупреждает пользователей об опасности, которую представляет уязвимость безопасности.