ZenGo初创公司警告某些去中心化钱包的漏洞
ZenGo初创公司警告某些去中心化钱包的漏洞
通过测试网络和经过特殊设计的恶意令牌交易所应用程序baDAPProve,ZenGo钱包开发人员展示了去中心化钱包的广泛利用。 ZenGo上的实验细节在他的博客中透露。
根据ZenGo的说法,当某些去中心化应用程序(DApp)要求批准一定金额的交易时,用户会不由自主地授予所有可用资金使用令牌的权限。
如果Dapp最初是恶意的或包含类似的漏洞,则即使他停止使用去中心化应用程序,用户也可能会丢失所有硬币。将来,攻击者将无需授权即可获取此令牌中的所有资金。
博客解释说:“在几乎所有去中心化应用程序启动时,用户都会在不知不觉中为与DApp相关的智能合约提供对所有资金的完全访问权限,而不论其实际用途是什么。”
已发现类似的漏洞利用,称为ZenGo baDAPProve,包括在Opera,imToken和Trust钱包等流行钱包中。
为了可视化漏洞,两家公司创建了一个测试网络和一个用于交易所令牌的恶意应用程序。在使用多个虚拟FRT令牌授权交易后,baDAPProve将从钱包中提取所有FRT硬币。
ZenGo的代表表示,只有Trust钱包计划进行更新,而其他公司却不敢这样做,尽管已经意识到存在此问题。
结果,该公司发布了一个补丁,可用于各种去中心化服务的应用程序。该解决方案还集成在最近针对该Compound的DeFi协议推出的ZenGo Savings功能中。
开发人员承诺发布一篇有关该问题的详细信息的博客文章。
回想一下,3月12日,在市场崩盘的背景下,最大的以太坊登陆服务MakerDAO和Compound经历了许多债务头寸的清算。
订阅ForkLog YouTube频道