Разработчики кошелька ZenGo при помощи тестовой сети и специально созданного ими вредоносного приложения по обмену токенов baDAPProve продемонстрировали широко распространенный эксплойт децентрализованных кошельков. Подробности эксперимента в ZenGo раскрыли в своем блоге.
Согласно ZenGo, когда некоторые децентрализованные приложения (DApps) запрашивают одобрение для транзакции на определенную сумму, пользователь невольно дает доступ к токену на всю имеющиеся средства.
Если Dapp был вредоносен изначально или в нем оказалась подобная уязвимость, то пользователь может лишиться всех монет, даже если перестанет использовать децентрализованное приложение. В дальнейшем злоумышленники смогут получить доступ ко всем средствам в этом токене без необходимости получения авторизации.
«Почти в каждом децентрализованном приложении, при его запуске пользователь неосознанно предоставляет связанному с DApp смарт-контракту полный доступ ко всем своим средствам, независимо от их фактического использования», — поясняется в блоге.
Подобный эксплойт, названный в ZenGo baDAPProve, был обнаружен, в том числе в таких популярных кошельках, как Opera, imToken и Trust Wallet.
Для наглядного представления уязвимости в компании создали тестовую сеть и вредоносное приложение для обмена токенов. После авторизации транзакции с некоторым количеством виртуальных FRT-токенов baDAPProve выводит все монеты FRT из кошелька.
По словам представителей ZenGo, лишь в Trust Wallet запланировали апдейт, тогда как в других компаниях не решились на это, невзирая на осведомленность о наличии этой проблемы.
В итоге компания выпустила патч, который доступен для приложений различных децентрализованных-сервисов. Также решение интегрировано в недавно запущенной функции ZenGo Savings для DeFi-протокола Compound.
Разработчики обещают выпустить пост в блоге с подробной информацией о проблеме.
Напомним, 12 марта на фоне обвала рынка на крупнейших лендинговых Ethereum-сервисах MakerDAO и Compound произошло множество ликвидаций долговых позиций.
Источник: forklog.com