Стартап ZenGo предупредил об уязвимости некоторых децентрализованных кошельков



  • Разработчики кошелька ZenGo при помощи тестовой сети и специально созданного ими вредоносного приложения по обмену токенов baDAPProve продемонстрировали широко распространенный эксплойт децентрализованных кошельков. Подробности эксперимента в ZenGo раскрыли в своем блоге.

    Согласно ZenGo, когда некоторые децентрализованные приложения (DApps) запрашивают одобрение для транзакции на определенную сумму, пользователь невольно дает доступ к токену на всю имеющиеся средства.

    Если Dapp был вредоносен изначально или в нем оказалась подобная уязвимость, то пользователь может лишиться всех монет, даже если перестанет использовать децентрализованное приложение. В дальнейшем злоумышленники смогут получить доступ ко всем средствам в этом токене без необходимости получения авторизации.

    «Почти в каждом децентрализованном приложении, при его запуске пользователь неосознанно предоставляет связанному с DApp смарт-контракту полный доступ ко всем своим средствам, независимо от их фактического использования», — поясняется в блоге.

    Подобный эксплойт, названный в ZenGo baDAPProve, был обнаружен, в том числе в таких популярных кошельках, как Opera, imToken и Trust Wallet.

    Для наглядного представления уязвимости в компании создали тестовую сеть и вредоносное приложение для обмена токенов. После авторизации транзакции с некоторым количеством виртуальных FRT-токенов baDAPProve выводит все монеты FRT из кошелька.

    По словам представителей ZenGo, лишь в Trust Wallet запланировали апдейт, тогда как в других компаниях не решились на это, невзирая на осведомленность о наличии этой проблемы.

    В итоге компания выпустила патч, который доступен для приложений различных децентрализованных-сервисов. Также решение интегрировано в недавно запущенной функции ZenGo Savings для DeFi-протокола Compound.

    Разработчики обещают выпустить пост в блоге с подробной информацией о проблеме.



  • Да со смарт контрактами там еще такие чудеса могут случиться ....



  • багов полно и этот случай тому лишнее подтверждение. вопрос только в том, смогут ли ими воспользоваться хакеры.



  • Участник @ivan-ivanov написал в Стартап ZenGo предупредил об уязвимости некоторых децентрализованных кошельков:

    багов полно и этот случай тому лишнее подтверждение. вопрос только в том, смогут ли ими воспользоваться хакеры.

    многими багами думаю хакерам и не выгодно пользоваться ..



  • @casio теми багами, которые не приносят прибыли, пользоваться невыгодно )


 

Форум BitcoinTalk.com в социальных сетях: ВКонтакте | Facebook | Instagram | Twitter | Telegram