ZenGo рассказали о крупной уязвимости большинства кошельков децентрализованных приложений

Как поясняют разработчики, при авторизации определённой транзакции такие кошельки предоставляют доступ ко всему объёму токена в распоряжении пользователя: «В результате, если DApp имеет проблему безопасности или является злонамеренным изначально, организатор атаки может воспользоваться чрезмерно широкими полномочиями, чтобы украсть все активы пользователя в этом DApp (в одобренном токене), не запрашивая разрешение пользователя. Он может сделать это в любой момент в будущем, даже если пользователь перестанет использовать DApp». По словам ZenGo «почти все DApp» имеют эту уязвимость, из-за чего пользователь без собственного ведома предоставляет смарт-контракту доступ ко всем активам в определённом токене. Для демонстрации уязвимости ZenGo запустили тестовую сеть и создали в ней вредоносное приложение по обмену токенов baDAPProve. При авторизации транзакции с некоторым количеством токенов FRT baDAPProve выводит все токены FRT из кошелька. В настоящее время разработчики находятся в процессе подготовки фикса для этой уязвимости. Они утверждают, что о ней известно на протяжении нескольких лет, однако другие команды ничего в связи с этим не предпринимают и не предупреждают пользователей, в том числе Opera, Imtoken и Trust Wallet. Разработчики Trust Wallet после уведомления ZenGo пообещали добавить соответствующее предупреждение. Кошельки Brave и Metamask имеют продвинутые настройки, благодаря которым пользователь сам может решать, доступ к какой сумме токенов он предоставляет DApp. Coinbase уже уведомляет пользователей о возможной угрозе.