Команда криптовалютного гаманця ZenGo без закритих ключів і паролів виявила вразливість, яка може стати причиною крадіжки токенів користувачів практично зі всіх гаманців dApp.
Незважаючи на те, що про цю проблему безпеки відомо вже два роки, генеральний директор ZenGo Уріель Охайон (Ouriel Ohayon) б’є на сполох, стверджуючи, що уразливість становить небезпеку для користувачів. Уразливість BaDApprove – це не помилка коду. Проблема полягає в тому, як гаманці взаємодіють з користувачами і встановлюють дозволу транзакцій за замовчуванням.
В рамках дослідження найбільших гаманців, включаючи Metamask, Opera і imToken, Охайон виявив, що, коли користувачі схвалюють певну транзакцію, вони часто за замовчуванням схвалюють всі майбутні транзакції. Це відкриває шлях для взаємодії шахрайських децентралізованих програм із засобами користувачів без їх відома, навіть шляхом крадіжки всіх активів.
Помилка добре документований, однак розслідування Охайона знову піднімає один з базових питань криптовалютной індустрії: чи повинні криптовалютные компанії робити все можливе для захисту користувачів або ж власники криптовалют повинні нести повну відповідальність за свої цифрові активи?
Команда ZenGo організувала демонстрацію dApp, щоб попередити користувачів про цю уразливість. На відео показаний користувач, який відправляє кілька FRT (валюта тестової мережі) в «шахрайське додаток для обміну» і дозволяє йому вивести зазначені токени і автоматизувати транзакції. Потім BaDApprove dApp виводить всі засоби з балансу користувача.
Ситуація ускладнюється тим, що багато гаманці не повідомляють своїм користувачам про цих дозволах. Дослідник Tendermint і Cosmos Санні Аггарвал (Sunny Aggarwal) провів симуляцію і підтвердив наявність проблеми.
«Якщо децентралізовані програми на Эфириуме хочуть взаємодіяти з вашими токенами ERC20, вони спочатку повинні отримати схвалення на доступ до деякого обсягу коштів», – сказав Аггарвал. «В даному випадку dApp просить схвалити доступ до надзвичайно великої кількості токенів, не показуючи, скільки саме їх буде використовуватися».
Аггарвал використав популярний гаманець Metamask, який, за його словами, відображав суму транзакції тільки після того, як він натиснув «Показати подробиці».
«І навіть тоді ви побачите, що сума відображається як 1.1579 ………… e+59» або у науковому поданні. З-за цього багато користувачі можуть неправильно зрозуміти суму і порахувати, що це приблизно 1.15 токена».
Гаманець Metamask
«Це помилка з боку гаманців», – сказав він. «Гаманці повинні відображати цю інформацію для користувачів як можна більш помітно і попереджати їх, якщо здійснюються якісь дії».
Відома проблема
Проблема, на яку звернули увагу Охайон і ZenGo, вже давно відома в індустрії DeFi. Судячи з усього, вона досі не була виправлена, так як учасники індустрії не вважають це вразливістю або помилкою, а лише некоректно працює функцією.
У вересні 2018 року Джордан Рендольф (Jordan Randolph), представник децентралізованої біржі Ethex, виклав свій погляд на проблему. «Одноразові дозволи на переміщення майже нескінченної кількості токенів… можуть бути зручними», написав він. «Тим не менш, наявність майже нескінченної кількості затверджених токенів означає, що всі ваші токени доступні для передачі по смарт-контрактом». За його словами, передустановка гаманця зводиться до вибору між зручністю і безпекою.
«Програми, які пропонують лише один варіант – схвалення величезної кількості токенів – несуть в собі фатальну уразливість в області безпеки», – написав він.
За останні кілька тижнів ZenGo обговорила цю проблему з розробниками відомих гаманців. Однак, найчастіше дослідники стикалися з неприйняттям.
«Ця проблема являє собою відомий ризик і вимагає взаємодії з користувачем. Ми додали чітке повідомлення для користувачів, коли вони починають взаємодіяти зі стороннім dApp. Але ми все одно дякуємо за ваш звіт», – відповів у Twitter представник imToken Талу Бірі (Tal Be’ery), одному із засновників ZenGo.
Генеральний директор imToken Бен Хе (Ben He) сказав: «Це не уразливість безпеки, а погана традиція всієї екосистеми Эфириума, згідно з якою більшість додатків dApps/DeFi запитують дозвіл на необмежену взаємодія з токенами користувачів».
За його словами, для вирішення цієї проблеми в браузері imToken dApp є два спливаючі вікна. Одне з’являється, коли користувач вперше відвідує URL-адресу dApp, а друге спливає, запитуючи згоди користувача перед укладенням угоди.
«Дуже важливо, щоб користувач підписував транзакції уважно, і ми вважаємо, що це правильне і дружнє нагадування спільноті», – сказав він. «Ми вдосконалюємо свій користувальницький інтерфейс, щоб мінімізувати проблеми».
Metamask представив аналогічний відповідь на питання про необмежені права.
«Насправді це безпечна функція, яку користувачі регулярно використовують відповідально. Це не якась помилка або проблема», – сказав співробітник служби підтримки MetaMask. «Це – не серйозна проблема стандарту ERC-20, але вона має основне значення для дозволів смарт-контрактів, які дозволяють їм взаємодіяти з токенами».
Фірма активно працює над додаванням заходів безпеки, наприклад, спливаючими повідомленнями, які вимагають підтвердження для відправки засобів та дозволяють користувачам коригувати затверджену суму в додаткових параметрах. Крім того, за словами представника гаманця, Metamask «планує надати користувачам ще більший контроль», наприклад, функції, що спрощують скасування цього дозволу.
Охайон також послався на Brave і Coinbase, зазначивши, що ці компанії відображають «значущі попередження», хоча це не усуває ризик того, що користувачі dApp можуть постраждати від дій зловмисників.
«Деякі компроміси в області безпеки, які могли б бути прийнятними в епоху, коли користувачів було мало і вони мали високий технічний рівень знань, зараз неможливі. Це пов’язано з тим, що DeFi стає все популярнішим, набуває багато користувачів без технічних навичок і обробляє операції з криптовалютными токенами на мільярди доларів», – написав у блозі дослідник ZenGo Алекс Манушкин.
Він вважає, що якщо криптовалютная індустрія завоює глобальну популярність, то повинні бути прийняті належні заходи безпеки, щоб уникнути проблем.
Thanks!
Our editors are notified.