Bug DeFi Dapp de longa data ainda não corrigido pela indústria (atualizado)

O DeFi tem um problema de segurança aberto. Uma equipe de designers de produtos da ZenGo, uma empresa de carteiras não custodiais, encontrou uma exploração que pode drenar fundos de usuários de quase todas as carteiras dapp. Embora a falha de segurança seja conhecida há dois anos, Ouriel Ohayon, CEO da ZenGo, está soando o alarme, argumentando que a falha representa um risco para os usuários que não foi totalmente resolvido.

A questão da segurança,chamado BaDApprove, não é um bug de código, mas um problema com a forma como as carteiras interagem com os usuários e definem permissões de transação por padrão.

Pesquisando uma série de carteiras de alto perfil – incluindo Metamask, Opera e imToken – Ohayon descobriu que quando os usuários aprovam uma transação específica, eles também estão frequentemente aprovando todas as transações futuras por padrão. Isso abre as portas para que aplicativos descentralizados maliciosos interajam com fundos do usuário sem seu conhecimento ou consentimento, possivelmente roubandoéter (ETH) participações.

Veja também:Como os aplicativos Ethereum ganham classificações de segurança A+

O bug está bem documentado, embora a reclamação de Ohayon reacenda um conflito seminal no Cripto: as empresas de Cripto devem fazer o que podem para proteger os usuários ou os detentores de Cripto devem assumir total responsabilidade por sua riqueza em ativos digitais?

A equipe ZenGo criou uma demonstração do dapp para alertar os usuários sobre essa potencial exploração. O vídeo mostra um usuário que envia alguns FRTs (uma moeda de testnet) para o “rogue swapping app” e permite que ele retire os tokens e automatize as transações. Então, o dapp BaDApprove drena todo o saldo do usuário.

As carteiras devem mostrar essas informações em destaque para os usuários e ter alertas caso achem que algo suspeito está acontecendo.

“É como dizer, ‘ao fazer esta transferência bancária, você aceita que o destinatário receba acesso total à sua conta bancária’”, disse Ohayon pelo Telegram. A situação é agravada pelo fato de que muitas carteiras não comunicam aos seus usuários que essas permissões permanecem, mesmo que os usuários parem de usar o dapp.

Contactado pela CoinDesk, Sunny Aggarwal, um cientista pesquisador da Tendermint e da Cosmos, executou a simulação e também viu as consequências.

“Os dapps Ethereum , se quiserem interagir com seus tokens ERC20, primeiro precisam pedir aprovação para poderem subir para um certo número deles”, disse Aggarwal em uma mensagem direta. “O que aconteceu aqui é que o dapp pediu para aprovar uma quantidade extremamente alta de tokens, [sem mostrar] quanto está sendo aprovado.”

Aggarwal usou a popular carteira Metamask, que, segundo ele, só mostrava o valor da transação depois que ele clicava em "Mostrar mais detalhes". "E mesmo assim você verá exibido como 1,1579…………e+59", ou em notação científica, "o que é muito fácil para alguém interpretar mal e acidentalmente pensar que está aprovando algo como ~1,15 tokens".

“Isso é uma falha por parte das carteiras”, ele disse. “As carteiras deveriam mostrar essas informações na frente e no centro para os usuários, e ter alertas se acharem que algo suspeito está acontecendo.”

Problema conhecido

O que Ohayon e ZenGo destacaram é um problema conhecido na comunidade DeFi ( Finanças descentralizadas) há anos. A questão maior é por que isso T foi corrigido. Para alguns no mundo dapp, a resposta é que T é tanto uma falha ou um bug, mas sim um recurso não muito bom.

Em setembro de 2018, Jordan Randolph, um representante da Ethex, uma exchange descentralizada, descreveu o problema em uma publicação no Medium. Aprovações únicas para mover “uma quantidade quase infinita de tokens… podem ser convenientes”, ele escreveu. “No entanto, ter um número quase infinito de tokens aprovados significa que todos os [seus] tokens estão disponíveis para serem transferidos pelo contrato inteligente.”

A predefinição da carteira se resume a uma escolha entre conveniência e segurança, ele disse. Randolph não respondeu a um Request de comentário.

Veja também: Opinião: Graças ao Better UX, os Dapps se tornarão populares este ano

“Dapps que oferecem apenas uma opção – a aprovação de um grande número de tokens – abrigam uma falha de segurança fatal.”

Nas últimas semanas, a ZenGo levantou a questão com diversas carteiras importantes, muitas vezes recebendo resistência.

“Esse problema é um risco conhecido e requer interação do usuário. Já notificamos claramente o usuário quando ele está entrando em um dapp de terceiros. Mas ainda agradecemos pelo seu relato”, disse um representante da imToken a Tal Be'ery, cofundador da ZenGo, pelo Twitter.

Contatado pelo CoinDesk, Ben He, CEO da imToken, disse: "Não é uma exploração de segurança, é uma convenção nada boa para todo o ecossistema Ethereum , de que a maioria dos dapps/aplicativos DeFi Request permissão ilimitada dos usuários".

Para resolver o problema, o navegador dapp imToken tem dois modais pop-up, ele disse. Um é quando um usuário visita o URL do dapp pela primeira vez, e o segundo aparece pedindo o consentimento do usuário antes da transação.

“É essencial que um usuário assine transações com cautela e vemos que este é um lembrete adequado e amigável para a comunidade”, disse ele, acrescentando que a empresa está “aprimorando nossa IU (interface do usuário) para mitigar as preocupações”.

A Metamask apresentou uma resposta semelhante quando questionada sobre permissões ilimitadas. “Este é, na verdade, um recurso seguro que os usuários usam regularmente de forma responsável. Não é algum tipo de bug ou problema”, disse um indivíduo da linha de suporte da MetaMask.

“[E]não há um problema inerente ao padrão ERC-20, mas [ele] é fundamental para permitir que contratos inteligentes interoperem com tokens”, disse ele.

A empresa tem sido proativa na adição de salvaguardas, como mensagens pop-up que solicitam confirmação para enviar fundos e permitem que os usuários ajustem a quantia aprovada em configurações avançadas.

Veja também:Os EUA devem usar stablecoins para pagamentos de emergência devido ao coronavírus

Além disso, de acordo com o representante, a Metamask tem “planos para dar aos usuários ainda mais controle”, como recursos que facilitam a revogação dessa permissão.

Ohayon também citou Brave e Coinbase como exibindo um “aviso significativo”, embora isso não remova o risco de que agentes maliciosos possam explorar usuários de dapp.

“Alguns comprometimentos de segurança que poderiam ter sido aceitáveis ​​na era em que os usuários eram escassos e altamente técnicos não são aceitáveis ​​quando o DeFi se torna popular, adquirindo muitos usuários não técnicos e lidando com tokens Cripto na casa dos bilhões (USD)”, escreveu Alex Manuskin, pesquisador da ZenGo, em uma postagem de blog.

Ele acredita que, se as Cripto se tornarem populares, salvaguardas adequadas terão que ser colocadas em prática para garantir que novos usuários não sejam explorados.

Uma questão semelhante foi levantada há duas semanas após o flash Cripto , quando a questão da negociação “disjuntores” surgiu. Para muitos, essas precauções competem com o ethos Cripto de descentralização e autonomia pessoal.

ATUALIZAÇÃO: Em resposta à pesquisa da ZenGo, o representante da imToken, Philipp Seifert, entrou em contato para dizer que a empresa adicionará notificações push para transações e uma maneira de editar permissões.

"Embora isso T impeça os usuários de definir limites ilimitados, temos certeza de que ajuda a tomar decisões informadas", de acordo com um Postagem média imToken.