El proveedor de billetera de criptomonedas ZenGo ha construido una red de prueba para demostrar una falla de seguridad importante que prevalece entre las billeteras de aplicaciones descentralizadas (DApp).
El 23 de marzo, ZenGo publicado un artículo que destaca que, al autorizar una transacción específica, muchas billeteras DApp realmente otorgan acceso a todo ese token particular almacenado en la billetera conectada:
"Como resultado, si la DApp es vulnerable a un problema de seguridad o es deshonesto para empezar, los atacantes pueden abusar de estos privilegios muy excesivos para robar TODAS las propiedades de los usuarios de la DApp (en los tokens aprobados) sin ningún otro consentimiento del usuario". Pueden hacerlo en cualquier momento en el futuro, incluso si el usuario ya no usa la DApp ".
ZenGo construye testnet para demostrar vulnerabilidad
ZenGo dijo que "casi todos los DApp" exhiben la vulnerabilidad, lo que resulta en que los usuarios, sin saberlo, brinden a los contratos inteligentes de DApp el control total sobre sus fondos.
Para demostrar la vulnerabilidad, ZenGo tiene lanzado un testnet público con un token "falso" que intercambia DApp denominado baDAPProve.
Cuando un usuario autoriza una transacción de un número específico de tokens FRT en la red de prueba, baDAPProve agotará toda la billetera FRT de los usuarios, enfatizando los riesgos asociados con la vulnerabilidad.
ZenGo está desarrollando actualmente una solución destinada a reparar El problema de seguridad.
A pesar de la vulnerabilidad que ha sido identificado Hace varios años, ZenGo cree que los proveedores de billeteras no están haciendo lo suficiente para garantizar que los usuarios conozcan los riesgos de seguridad asociados con la autorización de DApps para acceder a sus billeteras.
La firma afirma que las billeteras populares Opera, Imtoken y Trust no ofrecen advertencias que identifiquen el riesgo de seguridad. Sin embargo, Trust Wallet indicó que actualizará su billetera después de ser contactado por ZenGo.
ZenGo descubrió que las billeteras ofrecidas por Brave y Metamask brindan a los usuarios configuraciones avanzadas que les permiten elegir la suma a la que puede acceder un DApp, mientras que Coinbase brinda una advertencia a los usuarios enfatizando los riesgos.
La vulnerabilidad de la billetera es inaceptable a medida que crece la financiación descentralizada
ZenGo también identificó que incluso si un usuario ya no usa una DApp, el contrato inteligente aún puede acceder a sus tokens como resultado de un permiso previamente otorgado.
Si bien ZenGo reconoce que ciertos compromisos de seguridad "podrían haber sido aceptables en la época en que los usuarios eran escasos y altamente técnicos", la firma argumenta que la creciente popularidad de los protocolos de finanzas descentralizados requiere actualizaciones de seguridad, ya que atrae a un número creciente de usuarios no técnicos.
Cointelegraph se ha comunicado con varias de las carteras antes mencionadas, pero no ha recibido ningún comentario al momento de la publicación.