Команда разработчиков крипто-стартапа ZenGo продемонстрировала накануне распространенный эксплойт децентрализованных кошельков.
По данным от разработчиков ZenGo, проблема практически всех децентрализованных приложений (DApps) в том, что в то время, когда они делают запрос на осуществление транзакции на конкретную сумму, пользователь предоставляет доступ на самом деле ко всем имеющимся в его распоряжении средствам.
Так, если децентрализованное приложение изначально вредоносно или же в нем имеется такая уязвимость, то пользователь рискует потерять все средства. Это может произойти в любой момент, даже если пользователь перестанет использовать приложение, при этом нет нужды в получении авторизации.
Разработчики назвали обнаруженную уязвимость baDAPProve. Она была найдена в Trust Wallet, Opera, imToken. Несколько лучше обстоят дела с кошельками Metamask, Brave, Coinbase — за счет дополнительных настроек пользователи могут обеспечить себе безопасное использование сервиса.
С помощью специальной тестовой сети и вредоносного приложения разработчики наглядно показали, как может быть использована обнаруженная уязвимость. После авторизации транзакции, которая предполагала передачу определенного количества монет FRT, из кошелька получилось вывести все находящиеся там монеты FRT.
В ZenGo отметили, что только в Trust Wallet запланировали провести обновление, нацеленное на исправление ошибки. Другие сервисы не решаются на это, хотя и знают о существовании проблемы.
Тем временем в ZenGo представили патч, доступ к которому могут получить различные децентрализованные сервисы. Отметим, что решение от ZenGo было интегрировано с ZenGo Savings для DeFi-протокола Compound.
1 097
