Der Anbieter von Cryptocurrency Wallets ZenGo hat ein Testnet aufgebaut, um eine große Sicherheitslücke zu demonstrieren, die bei Brieftaschen mit dezentralisierten Anwendungen (DApp) vorherrscht.
Am 23. März veröffentlichte ZenGo einen Artikel, in dem hervorgehoben wird, dass viele DApp-Brieftaschen bei der Autorisierung einer bestimmten Transaktion tatsächlich Zugriff auf alle in der angeschlossenen Brieftasche gespeicherten Token gewähren:
„Wenn das DApp für ein Sicherheitsproblem anfällig oder von vornherein abtrünnig ist, können Angreifer diese höchst exzessiven Privilegien missbrauchen, um ohne weitere Zustimmung der Benutzer ALLE Bestände des DApp-Benutzers (in den genehmigten Token) zu stehlen. Sie können dies zu jedem Zeitpunkt in der Zukunft tun, auch wenn der Benutzer das DApp nicht mehr benutzt.
ZenGo baut ein Testnet auf, um Schwachstellen aufzuzeigen
ZenGo sagte, dass „fast jeder DApp“ die Schwachstelle aufweist, was dazu führt, dass Benutzer unwissentlich DApp-Smartcards die volle Kontrolle über ihre Gelder geben.
Um die Verwundbarkeit zu demonstrieren, hat ZenGo ein öffentliches Testnet mit einem „abtrünnigen“ Token-Swapping-DApp namens baDAPProve gestartet.
Wenn ein Benutzer eine Transaktion einer bestimmten Anzahl von FRT-Token im Testnetz autorisiert, leert baDAPProve und Bitcoin Evolution die gesamte FRT-Brieftasche des Benutzers – was die mit der Verwundbarkeit verbundenen Risiken unterstreicht.
ZenGo entwickelt derzeit eine Lösung, die das Sicherheitsproblem beheben soll
Obwohl die Schwachstelle bereits vor einigen Jahren erkannt wurde, ist ZenGo der Ansicht, dass die Anbieter von Wallets nicht genug tun, um sicherzustellen, dass die Benutzer sich der Sicherheitsrisiken bewusst sind, die mit der Autorisierung von DApps für den Zugriff auf ihre Wallets verbunden sind.
Die Firma behauptet, dass die populären Brieftaschen Opera, Imtoken und Trust Wallet keine Warnungen anbieten, die das Sicherheitsrisiko identifizieren. Die Trust Wallet hat jedoch angegeben, dass sie ihre Brieftasche nach der Kontaktaufnahme durch ZenGo aufrüsten wird.
ZenGo stellte fest, dass die von Brave und Metamask angebotenen Brieftaschen den Benutzern erweiterte Einstellungen bieten, mit denen sie die Summe wählen können, auf die ein DApp zugreifen kann, während Coinbase die Benutzer mit einer Warnung auf die Risiken hinweist.
Verwundbarkeit der Brieftasche inakzeptabel, da die dezentralisierte Finanzierung wächst
ZenGo stellte auch fest, dass selbst wenn ein Benutzer kein DApp mehr verwendet, der Smart Vertrag aufgrund einer zuvor erteilten Genehmigung immer noch auf seine Token zugreifen kann.
Während ZenGo einräumt, dass bestimmte Sicherheitskompromisse „in der Ära, in der Benutzer knapp und hochtechnisch waren, akzeptabel gewesen sein könnten“, argumentiert die Firma, dass die zunehmende Popularität dezentralisierter Finanzprotokolle Sicherheitsupgrades erforderlich macht, da sie eine wachsende Zahl nicht-technischer Benutzer anzieht.
Cointelegraph hat mehrere der oben genannten Brieftaschen erreicht, aber bis zum Redaktionsschluss noch keinen Kommentar erhalten.