Coinbase at ZenGo Spar Over QR Code Standards na Maaaring Ma-strand ERC-20 Token

Ang maliliit na problema, na pinagsasama ng kakulangan ng koordinasyon ng developer, ay maaaring magkaroon ng malaking epekto sa kaligtasan ng mga coin ng mga gumagamit ng Crypto .

Kaso sa punto:

Miyerkules, ang pinuno ng seguridad sa ZenGo, isang provider ng Cryptocurrency wallet, nag-tweet out pananaliksik na nagpapakita na ang mga isyu sa mga QR code na nabuo ng app ng Coinbase.com ay nagresulta sa ilang mga user na magpadala ng mga pondo sa address ng kontrata sa halip na sa nilalayon na wallet address sa loob ng app. Ang error na ito ay epektibong nag-strands sa mga pondo, nang walang paraan upang baligtarin ang transaksyon.

Ang isyu sa QR code na tinukoy ng ZenGo ay batay sa isang pabalik na isyu sa compatibility sa pagitan ERC-67 (ang orihinal na pamantayan ng format ng QR URL) at ang mas bago EIP-681 pamantayan. Gumagamit ang Coinbase ng EIP-681, na lumilikha ng mga isyu sa pagiging tugma sa pagitan nito at ng iba pang mga wallet gamit ang mas lumang pamantayan.

"Ang mga QR code ay isang napakaproblemadong format para sa domain ng Cryptocurrency ," sabi ni Tal Be'ery, co-founder at security researcher sa ZenGo. “Dahil ang mga QR code ay hindi nababasa ng tao, mahirap para sa mga user na makakita ng mga error, na ipinakilala ng alinman sa malisya o sa pagkakamali. Dahil sa hindi maibabalik na Cryptocurrency, ang mga error ay kadalasang nakamamatay."

Iyon ay sinabi, ang mga QR code ay maaaring maging mas maaasahan at mas madaling magkaroon ng error sa pangkalahatan kaysa sa pagkopya at pag-paste ng isang wallet address ng Human .

Ang isyung ito ay nakaapekto sa ilan mga user sa loob ng huling walong buwan at, ayon kay Be'ery ay malamang na mas matagal na. Ito ay iniulat sa publiko sa December 2020 din.

Ang mga pamantayan ng EIP at ERC QR code

Natuklasan ng ZenGo ang isyu bilang bahagi ng proseso ng pagtiyak ng kalidad nito. Sinabi ni Be'ery na sinusubukan ng team ang ZenGo QR decoding module sa pamamagitan ng pagpapakain dito ng mga QR code, na nabuo ng iba't ibang mga wallet, at napansing hindi pinangangasiwaan ng ZenGo app ang mga QR ng Coinbase app para sa mga token ng ERC-20, gaya ng Tether o DAI.

Ang mga token ng ERC-20 ay karaniwang maaaring gamitin upang kumatawan sa mga bagay, magbigay ng mga karapatan sa pagboto, magbayad ng mga bayarin sa transaksyon, crowdfund at magsama ng mga bagong feature sa isang token. Ang ERC-20 ay kasalukuyang pinakasikat na ERC token standard sa Ethereum.

Read More: Ano ang ERC-20 Ethereum Token Standard?

Kapag na-decode na ang mga QR code ayon sa mas lumang QR code URL standard na ginagamit ng ZenGo, lalabas ang URL sa address field sa ibaba ng QR code bilang, mahalagang, "Ethereum:<address>" na sinusundan ng ilang opsyonal na parameter.

Sa mas bagong format, na sinusuportahan ng app ng Coinbase, lumalabas ang na-decode na URL sa ibaba ng QR code bilang “ERC-20 Ethereum:<contract address>/transfer?address=<recipient address>“.

Nangangahulugan ito na kung hindi maingat ang mga developer sa kanilang pagpapatupad, maaaring magpasya ang isang algorithm na kunin na lang ang unang parameter bilang nauugnay na address na ipapadala at huwag pansinin ang lahat ng iba pa, ayon kay Be'ery.

"Kapag ang 'naive' na algorithm na ito ay inilapat sa mas bagong format, magiging sanhi ito ng gumagamit ng wallet na maling magpadala ng mga pondo sa mismong kontrata ng ERC-20 at hindi sa nilalayong tatanggap, na magreresulta sa pagkawala ng pera," sabi ni Be'ery.

Nag-tweet si Be'ery ng isang halimbawa mula sa app ng Coinbase, na ang unang address ay ang address ng kontrata sa halip na ang address ng wallet.

Ang pamantayang EIP-681 <a href="https://eips.ethereum.org/EIPS/eip-681%23backwards-compatibility">https://eips.</a> Kinikilala <a href="https://eips.ethereum.org/EIPS/eip-681%23backwards-compatibility">ng Ethereum.org/EIPS/eip-681%23backwards-compatibility</a> documentation ang problemang ito, na mahalagang nagsasabi na ito ay pabalik na compatible para sa ETH ngunit hindi sa mga pagbabayad sa ERC-20.

Read More: Nagpunta Kami sa Pangangaso para sa Mga Crypto Scam sa Google at Apple App Stores. Narito ang Nahanap Namin

'Isang kahila-hilakbot na pamantayan'

Ang Coinbase ay hindi nagbigay ng hiniling na komento sa oras ng press ngunit si Pete Kim, pinuno ng engineering para sa Coinbase Wallet ay tumugon sa tweet ni Be'ery.

Sinabi ni Be'ery na habang ang Coinbase ay hindi "mali" dahil sumusunod ito sa ilang pamantayan, naniniwala ang koponan sa ZenGo na ito ay isang klasikong kaso ng "Mas mabuting maging matalino kaysa maging tama."

“Kapag nagpapatupad ng cross-wallet functionality gaya ng mga QR code na maaaring gawin ng ONE wallet at gamitin ng isa pa, mas mabuting gumamit ng 'lowest common denominator' na saloobin," sabi ni Be'ery.

"Sa partikular, ang ZenGo ay gumagawa ng mga QR code na nag-encode ng address sa isang raw na format (Ginagawa din ito ng Trust wallet) na tumutukoy lamang sa address at wala nang iba pa. Ito ay basic at samakatuwid ay nag-iiwan ng mas kaunting puwang para sa mga pagkakamali at hindi pagkakatugma."

Kim mamaya inayos ang sarili, na binabanggit na ang bagong pamantayan ay ginagamit sa retail app ng Coinbase, o sa kanilang exchange app, sa halip na Coinbase Wallet, na isang noncustodial wallet app.

Sinabi pa ni Kim na ito ay isang bug sa ZenGo para sa hindi pagsuporta sa pamantayan ng EIP-681, na binanggit na ang iba pang mga wallet tulad ng Trust, Exodus, Crypto.com at Metamask lahat ay sumusuporta sa EIP-681 nang tama.

Pagpili ng tamang address

Pansamantala, bilang pangkalahatang tuntunin, sinabi ni Be'ery na dapat i-verify ng mga user na dapat gumamit ng QR code ang mga detalye ng transaksyon bago tuluyang kumpirmahin ang transaksyon. Halimbawa, ang paghahanap ng address sa Etherscan sasabihin sa iyo kung ang address ay isang address ng kontrata o isang address ng wallet. Sa kasamaang palad, mahirap tingnan kung aling mga pamantayan ang sinusuportahan ng iyong ginustong wallet.

Ang lahat ng ito ay maaaring mukhang mahirap para sa mga bagong dating sa espasyo na hindi pamilyar sa mga contour ng Crypto, at maaari itong maging. Gayunpaman, ito ay isang bagay na maaaring makatipid sa kanila ng BIT pera at pananakit ng ulo sa katagalan.

"Iyon ang dahilan kung bakit sa ZenGo dinadagdagan namin ang aming mga QR code gamit ang ilang visual indicator sa uri ng coin/token at gayundin ang mismong address para sa madaling paghahambing at pag-verify," sabi ni Be'ery.

"Ang pinakamahalagang bagay sa pagbabasa ng QR code ay hindi nalilito sa iba't ibang mga format at pamantayan, at mas mabuting mabigo kung sakaling magkaroon ng hindi suportadong format (gaya ng ginagawa namin) at huwag subukang 'hulaan' at ilagay sa panganib ang mga pondo ng aming mga customer. Maaari kaming magpasya sa hinaharap na suportahan din ang format na ito, at pagkatapos ay pipili kami ng 'tamang' address, para walang pondo [ang mawawala]."

Pagwawasto: Huwebes, Marso 3, 2021, 16:00 UTC: Ang orihinal na bersyon ng artikulong ito ay nagsasaad na ang isyu ay sa Coinbase Wallet. Ito ay binago upang sabihin na ang problema ay sa mga address ng wallet sa loob ng Coinbase.com app.

Ang mga karagdagang komento mula kay Pete Kim ng Coinbase Wallet ay idinagdag.