El proveedor de monederos de criptomonedas ZenGo ha construido una red de prueba para demostrar un importante fallo de seguridad que prevalece entre los monederos Dapp (aplicaciones descentralizadas).

El 23 de marzo, ZenGo publicó un artículo en el que se destacaba que, cuando se autoriza una transacción específica, muchos monederos DApp realmente conceden acceso sobre todo ese token particular almacenado en el monedero conectado: 

“Como resultado, si la DApp es vulnerable a un problema de seguridad, o es deshonesta en un principio, los atacantes pueden abusar de estos privilegios altamente excesivos para robar TODOS los bienes de los usuarios de la DApp (en los tokens aprobados) sin ningún otro consentimiento del usuario. Pueden hacerlo en cualquier momento en el futuro, incluso si el usuario ya no usa la DApp.”

ZenGo construye una red de pruebas para demostrar la vulnerabilidad

ZenGo dijo que "casi todas las DApp" exhiben la vulnerabilidad, lo que resulta en que los usuarios, sin darse cuenta, les proporcionan a los contratos inteligentes de las DApp el control total de sus fondos.

Para demostrar la vulnerabilidad, ZenGo ha lanzado una red de prueba pública que presenta un token de intercambio "pícaro" de DApp llamado baDAPProve.

Cuando un usuario autoriza una transacción de un número específico de tokens de FRT en la red de pruebas, baDAPProve vaciará todo el monedero de FRT de los usuarios, haciendo hincapié en los riesgos asociados a la vulnerabilidad.

ZenGo actualmente está desarrollando una solución destinada a resolver el problema de seguridad.

A pesar de que la vulnerabilidad se identificó hace varios años, ZenGo cree que los proveedores de monederos no están haciendo lo suficiente para garantizar que los usuarios sean conscientes de los riesgos de seguridad asociados con la autorización a las DApps para acceder a sus monederos.

La empresa afirma que los monederos populares Opera, Imtoken y Trust no ofrecen ninguna advertencia que identifique el riesgo de seguridad. Sin embargo, el monedero Trust indicó que actualizará su monedero después de que ZenGo le contactó.

ZenGo descubrió que los monederos ofrecidos por Brave y Metamask les proporcionan a los usuarios una configuración avanzada que les permite elegir la suma a la que puede acceder una DApp, mientras que Coinbase les proporciona una advertencia a los usuarios en la que se destacan los riesgos.

La vulnerabilidad del monedero es inaceptable a medida que crece la financiación descentralizada

ZenGo también identificó que incluso si un usuario ya no usa una DApp, el contrato inteligente todavía es capaz de acceder a sus tokens como resultado de un permiso previamente concedido.

Si bien ZenGo admite que ciertos compromisos de seguridad "podrían haber sido aceptables en la época en que los usuarios eran escasos y altamente técnicos", la empresa sostiene que la creciente popularidad de los protocolos de financiación descentralizada hace necesario mejorar la seguridad, ya que atrae a un número cada vez mayor de usuarios no técnicos.

Cointelegraph ha contactado con varios de los monederos mencionados, pero no ha recibido ningún comentario hasta el momento de la publicación.

No dejes de leer: