ZenGo警告DApp钱包存在重大安全缺陷

 
加密货币钱包提供商ZenGo建立了一个测试网，以演示分散应用程序(DApp)钱包中普遍存在的主要安全漏洞。
3月23日，ZenGo发表了一篇文章，强调指出，在授权特定交易时，许多DApp钱包实际上会授予对所连接钱包中存储的所有特定令牌的访问权限：
因此，如果DApp容易受到安全问题的攻击或一开始就很无赖，攻击者可以滥用这些高度过多的特权来窃取DApp的所有用户持股(以批准的令牌)，而无需任何进一步的用户同意。他们可以在将来的任何时候这样做，即使用户不再使用DApp。”
ZenGo建立测试网来演示漏洞
ZenGo说，“几乎每个DApp”都存在该漏洞，导致用户无意中向DApp智能合约提供了对其资金的完全控制权。
为了演示该漏洞，ZenGo启动了一个公共测试网，其中包含一个名为“ baDAPProve”的“恶意”令牌交换DApp。
当用户在测试网上授权特定数量的FRT令牌交易时，baDAPProve将耗尽用户的整个FRT钱包-强调与漏洞相关的风险。
ZenGo当前正在开发旨在解决安全问题的解决方案。
尽管漏洞已在几年前被发现，但ZenGo认为钱包提供商并没有采取足够的措施来确保用户意识到与授权DApp访问其钱包相关的安全风险。
该公司声称，流行的钱包Opera，Imtoken和Trust钱包没有提供任何警告，表明存在安全风险。但是，Trust钱包表示将与ZenGo联系后将升级其钱包。
ZenGo发现Brave和Metamask提供的钱包为用户提供了高级设置，使他们可以选择DApp可以访问的金额，而Coinbase向用户发出警告，强调风险。
随着去中心化金融的增长，钱包的脆弱性令人无法接受
ZenGo还确定，即使用户不再使用DApp，由于先前授予的权限，智能合约仍能够访问其令牌。
尽管ZenGo承认某些安全折衷方案“在用户稀少且技术水平很高的时代是可以接受的”，但该公司认为，分散式金融协议的日益普及需要安全性升级，因为它吸引了越来越多的非技术用户。