امور مالی غیرمتمرکز یا همان دیفای (DeFi) در سال گذشته توجه بسیاری را به خود جلب کرده است. با اینکه ارزش کل سرمایه های قفل شده در DeFi که یک میلیارد دلار ارزش داشت نصف شده است اما هنوز هم یکی از مهمترین بخش های امروز صنعت کریپتو است. این مدل DeFi با برنامه های غیرمتمرکز(DApps) کار می کند که برای کار با خدمات DeFi طراحی شده اند.
ارائه دهنده کیف پول ارز دیجیتال ZenGo آسیب پذیری بزرگی را نشان داده که بیشتر کیف پول های برنامه های غیرمتمرکز را تحت تأثیر قرار می دهد و برای نشان دادن این نقص امنیتی یک شبکه آزمایشی ساخته است. این مشکل اساسا هنگامی رخ می دهد که می خواهید برنامه غیرمتمرکز را به یک کیف پول دیجیتال متصل کنید.
از کاربر خواسته می شود تا به برنامه غیرمتمرکز اجازه تعامل با کیف پول کاربر را بدهد. در واقع کاربر اجازه دسترسی به تراکنش و مبلغ خاصی را می دهد اما در حقیقت، کاربران برنامه های غیرمتمرکز به همه دارایی های آنها در آن توکن دسترسی پیدا می کنند.
اگر برنامه غیرمتمرکز مستعد مسائل امنیتی باشد یا بازیکنان شرور از آن استفاده کنند، به راحتی می توانند از این دسترسی برای سرقت تمام سرمایه کاربر استفاده کنند. بنابر گفته ZenGo تقریباً هر برنامه غیرمتمرکز این آسیب پذیری را دارد و در آن قراردادهای هوشمندی که توسط برنامه غیرمتمرکز به کار رفته کنترل کاملی بر سرمایه کاربران فراهم می کند.
ZenGo برای نشان دادن این آسیب پذیری، با یک نسخه آزمایشی برنامه غیرمتمرکز سارق به نام baDAPProve یک شبکه آزمایشی ایجاد کرد. کاربر می تواند یک کیف پول با توکن های FRT شبکه آزمایشی بسازد. بعد از تنظیم کیف پول می توانید با ارسال چند FRT به برنامه غیرمتمرکز مبادله کننده سارق با baDAPProve ارتباط برقرار کنید. با کمال تعجب نه تنها FRT هایی را که برای تبادل توافق کرده اید را انتقال می دهید، بلکه کل موجودی کیف پول شما تمام می شود.
نقص امنیتی یک موضوع جدید نیست. جامعه توسعه دهندگان اتریوم سالهاست که از این آسیب پذیری آگاه هستند اما سعی نشده تا درباره آن آگاهی داده یا به این مشکل اشاره کنند. و حتی اکنون ارائه دهندگان کیف پول سعی نمی کنند تا کاربران این ضعف را بشناسند.
ZenGo آنچه کیف پول های رایج فعلی انجام می دهند را تحلیل کرده و متوجه شد که اکثر آنها به این آسیب پذیری رسیدگی نمی کنند. چند استثنا نیز وجود دارد: کیف پول های بریو(Brave) و متاماسک(Metamask) قبل از درخواست تأیید عملکرد، اخطار معناداری به کاربران می دهند و به آنها اجازه می دهند مبلغ تأیید شده را تحت تنظیمات پیشرفته تنظیم کنند. کیف پول کوین بیس نیز هشدار مشابهی برای کاربران دارد. ZenGo با کیف پول های اوپرا، Imtoken و تراست نیز تماس گرفت اما تنها تراست تصمیم گرفت کیف پول خود را به روز کند.
فضای کریپتو دیگر تنها هنر فهم تکنیکال نیست. از آنجا که DeFi به جریان اصلی وارد می شود، خطرات امنیتی باید سریعا مورد بررسی قرار گیرد تا یک عامل اعتماد ایجاد شود. ZenGo در نظر دارد به زودی یک وبلاگ فنی دقیق را منتشر کرده تا به این آسیب پذیری امنیتی اشاره کند. در ضمن می توانید با استفاده از این ابزار عمومی شخص ثالث بررسی کنید که آیا در معرض پی آمد baDAPProve قرار گرفته اید یا خیر.
