ZenGo offre un correctif pour la vulnérabilité des jetons dans les portefeuilles cryptographiques populaires

Crypto-Monnaies

En bref

  • Le fabricant de portefeuilles cryptographiques ZenGo a mis en évidence un exploit dapp prétendument répandu.
  • L'entreprise a partagé publiquement une solution qu'elle avait créée pour surmonter le problème.
  • ZenGo fait un portefeuille crypto sans clé avec une fonction d'épargne basée sur les composés.

Avez-vous déjà connecté un dapp Ethereum à votre portefeuille crypto? Vous n'avez peut-être rencontré aucun problème avec un accès non autorisé à vos jetons, mais selon ZenGo, certaines applications et portefeuilles décentralisés laissent cette porte grande ouverte.

Dans un article publié aujourd'hui, ZenGo, fabricant d'un portefeuille crypto sans clé, a détaillé ce que la société prétend être une erreur courante dans ces applications. Selon ZenGo, lorsque certains dapps demandent l'approbation d'une transaction d'un certain montant, ce que vous autorisez réellement est l'accès à tous vos avoirs de ce jeton. Et si les attaquants obtiennent l'accès via une faille de sécurité ou si le dapp provient d'une source néfaste, ces avoirs pourraient être consultés à nouveau sans autre approbation.

"Dans presque tous les dapp, lorsque l'utilisateur s'y connecte, ils fournissent sans le savoir le contrat intelligent associé au dapp un accès complet à tous leurs fonds, quelle que soit leur utilisation réelle", lit le message. «Par conséquent, même si l'utilisateur n'a réellement envoyé qu'une transaction équivalente à 1 $, un attaquant abusant d'une vulnérabilité de contrat intelligent peut retirer tous les avoirs de l'utilisateur de cet actif spécifique. La situation est aggravée par le fait que de nombreux portefeuilles ne communiquent pas ce fait à leurs utilisateurs. »

ZenGo appelle la surveillance «baDAPProve» et affirme qu'il a rencontré de tels problèmes lors de la recherche de portefeuilles, y compris Opera, imToken et Trust Wallet – aucun d'entre eux n'a clairement indiqué aux utilisateurs qu'ils autorisaient l'accès à tous les avoirs d'un jeton particulier. La société a créé une démonstration interactive du problème à l'aide d'un testnet pour montrer le problème en action. Selon ZenGo, lorsqu'elle a informé les entreprises du problème, elles étaient toutes les trois au courant, mais «seul Trust Wallet prévoit de mettre à niveau son portefeuille à la suite de notre enquête»

En fin de compte, la société a mis en œuvre une solution pour son nouveau produit, Composébasée sur les économies ZenGo, et a a publié un correctif disponible pour d'autres applications à utiliser—Même ceux qui n'utilisent pas Compound. La solution approuve un montant correspondant au montant exact que vous prévoyez d'envoyer, et vous n'aurez besoin de l'approuver qu'une seule fois avant d'envoyer les deux transactions simultanément. Un blog technique suivra bientôt avec plus de détails pour les développeurs.

«Certains compromis de sécurité qui auraient pu être acceptables à l'époque où les utilisateurs étaient rares et hautement techniques ne sont pas acceptables lorsque #DeFi se généralise, acquérant de nombreux utilisateurs non techniques et manipulant des jetons cryptographiques dans les milliards (USD)», a déclaré la société. tweeté.

Meilleures histoires, fonctionnalités originales, récompenses et plus.

Tirez le meilleur parti de Decrypt où vous le souhaitez.

4.8 (92%) 30 votes

 
Clause de non-responsabilité : l’opinion exprimée ici n’est pas un conseil en investissement, il est fourni à titre informatif uniquement. Cela ne reflète pas nécessairement l'opinion de BigCoin. Tous les investissements et toutes les transactions comportent des risques, vous devez donc toujours effectuer vos propres recherches avant de prendre des décisions. Nous ne recommandons pas d'investir de l'argent que vous ne pouvez pas vous permettre de perdre. Les points de vue et opinions exprimés ici ne reflètent pas ceux de BigCoin.eu et ne constituent pas un conseil financier. Faites toujours vos propres recherches.