加密钱包公司 ZenGo 开发了一个测试网,用于演示 DApp 钱包中常见的安全漏洞。根据发布的,该 DApp 钱包安全漏洞将使攻击者能够完全访问用户钱包中存储的代币。
ZenGo 指出,几乎所有 DApp 都存在一个缺陷,即用户会在不知情的情况下授予 DApp 智能合约trac资产的完全控制权。为了充分展示这一缺陷,这家加密钱包公司创建了一个公共测试网,其中包含一个名为 baDAPProve 的“恶意”代币交换去中心化应用程序:
因此,如果去中心化应用(DApp)存在安全漏洞或本身就是恶意应用,攻击者就可以滥用这些过大的权限,在未经用户进一步同意的情况下,窃取DApp用户持有的所有代币(已获批准的代币)。即使用户不再使用该DApp,攻击者也可以在未来的任何时候这样做。
DApp钱包安全漏洞已得到证实
当 DApp 钱包用户在系统中授权一定数量的 FTR 代币时,baDAPProve 会清空用户钱包中的所有 FTR 代币。该演示突显了钱包脆弱性带来的风险。.
目前,ZenGo正在开发应对这一安全威胁的解决方案。DApp钱包的安全漏洞几年前就已被发现,但ZenGo认为开发者们并未充分提高用户对该漏洞风险的认识。.
加密钱包提供商指出, Opera、Imtoken 和 Trust Wallet 等钱包提供商不愿就安全漏洞向用户发出警告。Trust Wallet表示,在与 ZenGo 咨询后,将对其网络进行改造。
Coinbase 等公司都提醒用户注意安全。
此外,ZenGo发现Brave和Metamask钱包都向用户提供高级设置,用于控制DApp的可用资金量。而Coinbase则会事先警告用户该安全漏洞带来的风险。.
