Bogue grave trouvé dans les portefeuilles de Dapp DeFi

Une équipe de concepteurs de produits pour ZenGo, une société hors portefeuille, a découvert une faille qui peut drainer les fonds des utilisateurs de presque tous les portefeuilles dapp. Ce bug de sécurité est connu depuis deux ans. Ouriel Ohayon, PDG de ZenGo, tire maintenant la sonnette d'alarme en affirmant que cela pose un risque pour les utilisateurs qui n'y sont pas directement confrontés.

Comment fonctionne le bogue

Le problème de sécurité, appelé BaDApprove, n'est pas un bogue de code mais un problème dans la façon dont les utilisateurs sélectionnent les autorisations de transaction dans les paramètres par défaut. Ohayon a constaté que lorsque les utilisateurs approuvent une transaction spécifique, ils approuvent également toutes les transactions futures par défaut.

Cela ouvre la porte à des applications malveillantes décentralisées qui interagissent avec les fonds des utilisateurs à leur insu.

Parce qu'il n'a pas été résolu auparavant

Ce que Ohayon et ZenGo ont mis en évidence est un problème connu dans la communauté DeFi depuis des années. La question est alors de savoir pourquoi cela n'a pas été résolu auparavant. Pour certains dans l'industrie, la réponse est que ce n'est pas tant un défaut ou un bug qu'une mauvaise fonctionnalité.

En septembre 2018, Jordan Randolph, un représentant d'Ethex, une bourse décentralisée, a classé le problème comme étant de gravité moyenne. Les autorisations uniques de déplacer "une quantité presque infinie de jetons ... peuvent être pratiques", a-t-il écrit.

"Cependant, avoir un nombre presque infini de jetons approuvés signifie que tous vos jetons pourraient être transférés avec un contrat intelligent." Le portefeuille prédéfini se résume alors à un choix entre commodité et sécurité, a-t-il déclaré.

Ben He, PDG d'imToken, a déclaré: "Ce n'est pas un bug de sécurité, c'est une mauvaise convention pour l'ensemble de l'écosystème Ethereum que la plupart des applications Dapps / DeFi nécessitent des approbations illimitées des utilisateurs."

Metamask a présenté une réponse similaire concernant les autorisations illimitées. «Il s'agit en fait d'une fonctionnalité sécurisée que les utilisateurs utilisent régulièrement de manière responsable. Ce n'est pas une sorte de bogue ou de problème. "

ImToken et MetaMask ont ​​tous deux été proactifs en ajoutant des garanties, telles que des messages contextuels demandant une confirmation pour l'envoi de fonds et permettant aux utilisateurs de modifier le montant approuvé dans les paramètres avancés. Ohayon a également cité Brave et Coinbase pour leurs avertissements complémentaires à ceux des Dapps.

Les Dapp doivent être adaptés à un DeFi traditionnel

"Certains compromis de sécurité qui auraient pu être acceptables à une époque où les utilisateurs étaient peu nombreux et hautement qualifiés techniquement ne sont plus acceptables car DeFi se généralise, acquérant de nombreux utilisateurs techniquement mal formés et gérant des milliards de dollars en jetons cryptographiques ( USD) », a écrit Alex Manuskin, chercheur chez ZenGo.

Il pense que si jamais la crypto-monnaie qui est déjà possible de trader sur des plateformes comme Bitcoin Pro il deviendra courant, des garanties adéquates doivent être mises en place pour empêcher l'exploitation de nouveaux utilisateurs. Un problème similaire a été soulevé il y a deux semaines après le flash crypto, lorsque le problème du commerce des disjoncteurs est apparu.

Pour beaucoup, ces précautions vont à l'encontre de l'éthique cryptographique de la décentralisation et de l'autonomie personnelle.