Стартап ZenGo предупредил об уязвимости некоторых децентрализованных кошельков

Разработчики кошелька ZenGo при помощи тестовой сети и специально созданного ими вредоносного приложения по обмену токенов baDAPProve продемонстрировали широко распространенный эксплойт децентрализованных кошельков. Подробности эксперимента в ZenGo раскрыли в своем блоге.

Согласно ZenGo, когда некоторые децентрализованные приложения (DApps) запрашивают одобрение для транзакции на определенную сумму, пользователь невольно дает доступ к токену на всю имеющиеся средства.

Если Dapp был вредоносен изначально или в нем оказалась подобная уязвимость, то пользователь может лишиться всех монет, даже если перестанет использовать децентрализованное приложение. В дальнейшем злоумышленники смогут получить доступ ко всем средствам в этом токене без необходимости получения авторизации.

«Почти в каждом децентрализованном приложении, при его запуске пользователь неосознанно предоставляет связанному с DApp смарт-контракту полный доступ ко всем своим средствам, независимо от их фактического использования», — поясняется в блоге.

Подобный эксплойт, названный в ZenGo baDAPProve, был обнаружен, в том числе в таких популярных кошельках, как Opera, imToken и Trust Wallet.

Для наглядного представления уязвимости в компании создали тестовую сеть и вредоносное приложение для обмена токенов. После авторизации транзакции с некоторым количеством виртуальных FRT-токенов baDAPProve выводит все монеты FRT из кошелька.

По словам представителей ZenGo, лишь в Trust Wallet запланировали апдейт, тогда как в других компаниях не решились на это, невзирая на осведомленность о наличии этой проблемы.

В итоге компания выпустила патч, который доступен для приложений различных децентрализованных-сервисов. Также решение интегрировано в недавно запущенной функции ZenGo Savings для DeFi-протокола Compound.

Разработчики обещают выпустить пост в блоге с подробной информацией о проблеме.

Напомним, 12 марта на фоне обвала рынка на крупнейших лендинговых Ethereum-сервисах MakerDAO и Compound произошло множество ликвидаций долговых позиций.

Источник: forklog.com



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх