加密钱包公司 ZenGo 开发了一个测试网来展示常见的 DApp 钱包安全缺陷。 根据发布的,这个 DApp 钱包安全漏洞将赋予用户对钱包中保留的代币的完全访问权限。
ZenGo 表示,几乎所有 DApp 都存在让用户在不知不觉中授予 DApp 智能合约对其资产的全部权力的trac。 为了充分展示这一弱点,加密钱包公司创建了一个公共测试网,其中有一个名为 baDAPProve 的“流氓”代币交换去中心化应用程序:
“因此,如果 DApp 容易受到安全问题的影响或者一开始就是流氓行为,那么攻击者就可以滥用这些高度过高的特权来窃取 DApp 用户持有的所有内容(在已批准的代币中),而无需任何进一步的用户同意。 他们可以在未来的任何时候这样做,即使用户不再使用 DApp。”
DApp 钱包存在安全漏洞
当 DApp 钱包用户在系统上批准一定数量的 FTR 代币时,baDAPProve 会清除用户钱包中的所有 FTR 代币。 该演示强调了钱包脆弱性带来的威胁。
目前,ZenGo 正在开发针对这一安全威胁的解决方案。 DApp 钱包的安全漏洞几年前就被发现了,但 ZenGo 认为开发人员没有对安全漏洞造成的危险有足够的认识。
加密钱包提供商指出, Opera、Imtoken 和 Trust wallet 等钱包提供商不愿提醒用户注意安全漏洞。 Trust Wallet 透露,在 ZenGo 咨询后,它将改造其网络。
Coinbase 等公司警告用户
此外,ZenGo 发现 Brave 和 Metamask 钱包都向用户提供高级调整,以调节 DApp 的访问金额。 另一方面,Coinbase 事先警告用户该安全漏洞带来的危险。