Merkeziyetsiz Uygulamalardaki Bu Güvenlik Açığı Kullanıcılar İçin Büyük Risk Taşıyor

Kripto para cüzdanı sağlayıcısı ZenGo, merkeziyetsiz uygulama (DApp) cüzdanları arasında yaygın olan büyük bir güvenlik açığını göstermek için bir testnet oluşturdu.

ZenGo, 23 Mart'ta bir makale yayınladı ve birçok DApp cüzdanının belirli bir işleme yetki verirken aslında bağlı cüzdanda saklanan ilgili tüm token'lara erişim izni verdiğine dikkat çekti: 

“Bu nedenle DApp güvenlik zafiyetine sahipse veya en başta bir hile varsa, saldırganlar bu açığı istismar edip kullanıcının işlem yapılan kripto para cinsinden TÜM birikimini kullanıcı rızasına gerek kalmadan çalabilir. Kullanıcı artık DApp'i kullanmasa bile daha sonra böyle bir olay gerçekleşmesi de ihtimal dahilindedir.”

ZenGo açığı göstermek için testnet oluşturdu

ZenGo, neredeyse tüm DApp'lerin bu güvenlik açığına sahip olduğunu ve kullanıcıların istemeden DApp akıllı sözleşmelerine paraları üzerinde tam kontrol sunduklarını belirtti.

ZenGo, güvenlik açığını göstermek için ''baDAPProve'' adlı bir hileli token takası DApp'i içeren açık testnet başlattı.

baDAPProve, testnet üzerinde bir kullanıcı belirli miktarda FRT token içeren bir işleme yetki verdiği zaman kullanıcının FRT cüzdanını tamamen boşaltıyor ve güvenlik zafiyetine ilişkin riskleri göz önüne seriyor.

ZenGo, güvenlik sorununu çözmek için bir çözüm geliştirmeye çalışıyor.

ZenGo, zafiyetin birkaç yıl önce tespit edilmesine rağmen cüzdan sağlayıcıların konuyla ilgili gerekli önlemleri almadığını düşünüyor.

Şirket, Opera, Imtoken ve Trust gibi popüler cüzdanların güvenlik riskine ilişkin herhangi bir uyarıda bulunmadığını ileri sürüyor. Diğer yandan Trust, ZenGo ile iletişime geçtikten sonra cüzdanını güncelleyeceğini duyurdu.

ZenGo, Brave ve Metamask tarafından sunulan cüzdanların kullanıcılara DApp'lerin erişim sağlayabileceği miktarı seçmesine olanak sağlayan gelişmiş ayarlar sunduğunu, Coinbase'in ise kullanıcıları risklere ilişkin uyardığını belirtti.

Güvenlik zafiyeti kabul edilemez

ZenGo, kullanıcı DApp'i kullanmayı bıraksa bile akıllı sözleşmenin önceden verilen izinden dolayı kripto paralara erişim sağlayabileceğine dikkat çekti.

ZenGo, kullanıcıların daha az ve çoğunlukla teknik bilgiye sahip olduğu zamanlarda bazı güvenlik açıklarının kabul edilebilir olduğunu fakat, merkeziyetsiz finansın bu kadar geliştiği ve teknik bilgiye sahip olmayan kullanıcıların da alana dahil olduğu bir dönemde güvenlik güncellemelerinin yapılması gerektiğini söyledi.