ZenGo, een ontwikkelaar van crypto-portemonnees, heeft een beveiligingslek ontdekt in gedecentraliseerde applicaties (dApps), de "rode pilaanval". Door deze kwetsbaarheid konden kwaadwillende dApps gebruikersactiva stelen met behulp van ondoorzichtige transactiegoedkeuringen. ZenGo voerde onderzoek uit waaruit bleek dat veel toonaangevende leveranciers, waaronder Coinbase Wallet, kwetsbaar waren voor dergelijke aanvallen. ZenGo verklaarde echter dat alle leveranciers ontvankelijk waren voor hun rapporten en dat de meesten snel hun foutieve implementaties oplosten.
De kwetsbaarheid is mogelijk vanwege een programmeerfout in "Speciale variabelen" tussen slimme contracten waarin algemene informatie over de blockchain-functionaliteit wordt opgeslagen, zoals het tijdstempel van het huidige blok. Tijdens simulaties is er geen correcte waarde voor speciale variabelen, en ontwikkelaars "nemen een kortere weg" en stellen ze in op een willekeurige waarde. Deze kwetsbaarheid is waar de "rode pilaanval" zijn naam ontleent aan de iconische "rode pil"-scรจne uit de filmserie The Matrix. "Als malware kan detecteren dat het daadwerkelijk wordt uitgevoerd in een gesimuleerde omgeving of in de matrix leeft, kan het zich op een goedaardige manier gedragen, waardoor de anti-malware-oplossing wordt misleid en zijn ware kwaadaardige aard alleen wordt onthuld wanneer het daadwerkelijk wordt uitgevoerd in een echte omgeving."
ZenGo demonstreerde in een video hoe een slimme contractsimulatie op Polygon (MATIC) met deze methode kan worden gecompromitteerd. ZenGo toonde aan dat wanneer de gebruiker de transactie on-chain verstuurt, COINBASE wordt gevuld met het niet-nul adres van de huidige mijnwerker, en het contract neemt alleen de verzonden munten.
ZenGo zei dat de oplossing voor de kwetsbaarheid eenvoudig was. In plaats van deze kwetsbare variabelen te vullen met willekeurige waarden, moeten de simulaties ze vullen met betekenisvolle waarden. ZenGo presenteerde geredigeerde screenshots van bug bounties, blijkbaar toegekend door Coinbase, voor het oplossen van het probleem. De Ethereum Foundation heeft ZenGo ook een subsidie โโvan $ 50,000 toegekend voor zijn onderzoek naar transactiesimulaties.
Gedecentraliseerde applicaties of dApps zijn een essentieel onderdeel van het blockchain-ecosysteem. Ze opereren op gedecentraliseerde netwerken, waar geen centrale autoriteit is, en transacties worden vastgelegd op de blockchain. Het voordeel van dApps is dat ze gebruikers een veiligere en transparantere manier bieden om transacties uit te voeren zonder een centrale autoriteit. Zoals bij elke technologie zijn er echter kwetsbaarheden die moeten worden aangepakt. De ontdekking van de "red pill attack"-kwetsbaarheid door ZenGo onderstreept het belang van beveiliging in het blockchain-ecosysteem.
Concluderend: ZenGo's ontdekking van de "red pill attack"-kwetsbaarheid in dApps is een belangrijke ontwikkeling in het blockchain-ecosysteem. De kwetsbaarheid, waardoor kwaadwillende dApps gebruikersactiva konden stelen, benadrukt het belang van beveiliging in het blockchain-ecosysteem. ZenGo's onderzoek heeft aangetoond dat veel toonaangevende leveranciers kwetsbaar waren voor dergelijke aanvallen, maar dat ze hun foutieve implementaties snel herstelden. De oplossing voor de kwetsbaarheid is eenvoudig en ZenGo heeft er bij ontwikkelaars op aangedrongen om kwetsbare variabelen te vullen met betekenisvolle waarden.
[mailpoet_form id = โ1 โณ]
ZenGo onthult dApp-kwetsbaarheid Heruitgegeven vanuit bron https://blockchain.news/news/zengo-uncovers-dapp-vulnerability via https://blockchain.news/RSS/
<!โ
->
<!โ
->
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://blockchainconsultants.io/zengo-uncovers-dapp-vulnerability/?utm_source=rss&utm_medium=rss&utm_campaign=zengo-uncovers-dapp-vulnerability
- :is
- 000
- a
- in staat
- werkelijk
- adres
- Voordeel
- Alles
- onder
- en
- toepassingen
- Applicaties (DApps)
- ZIJN
- AS
- Activa
- aanvallen
- Aanvallen
- autoriteit
- Bekroond
- BE
- wezen
- Blok
- blockchain
- blockchain-ecosysteem
- bounties
- Bug
- bug bounties
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- centraal
- coinbase
- Coinbase Wallet
- Munten
- Aangetast
- conclusie
- uitgevoerd
- contract
- contracten
- kon
- crypto
- Crypto-portemonnee
- Actueel
- Dapp
- DApps
- dc
- gedecentraliseerde
- Gedecentraliseerde applicaties
- gedecentraliseerde netwerken
- gedemonstreerd
- beschrijving
- Ontwikkelaar
- ontwikkelaars
- Ontwikkeling
- ontdekt
- ontdekking
- gedurende
- ecosysteem
- Milieu
- essentieel
- ethereum
- ethereum foundation
- defect
- gevuld
- Bepalen
- Voor
- Foundation
- oppompen van
- functionaliteit
- Algemeen
- toe te kennen
- highlights
- Hoe
- Echter
- http
- HTTPS
- iconische
- belang
- in
- Inclusief
- informatie
- verkrijgen in plaats daarvan
- kwestie
- IT
- HAAR
- jpg
- leidend
- leven
- malware
- manier
- veel
- Matic
- Matrix
- zinvolle
- methode
- mijnwerker
- meer
- meest
- filmpje
- naam
- NATUUR
- Noodzaak
- netwerken
- of
- on
- Aan de ketting
- besturen
- Toezicht
- deel
- Plato
- Plato gegevensintelligentie
- PlatoData
- Veelhoek
- Polygon (MATIC)
- mogelijk
- gepresenteerd
- Programming
- zorgen voor
- Quick
- vast
- opgenomen
- Rapporten
- onderzoek
- onthullen
- Revealed
- Zei
- scรจne
- screenshots
- beveiligen
- veiligheid
- beveiligingslek
- -Series
- reeks
- getoond
- aanzienlijke
- simulatie
- slim
- slim contract
- Slimme contracten
- oplossing
- Het oplossen van
- bron
- special
- bepaald
- eenvoudig
- dergelijk
- neemt
- Technologie
- dat
- De
- De Ethereum Foundation
- hun
- Ze
- Deze
- tijdstempel
- naar
- verhandelen
- transactie
- Transacties
- transparant
- waar
- Gebruiker
- gebruikers
- waarde
- Values
- variabelen
- vendors
- via
- Video
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- W3
- Portemonnee
- Manier..
- welke
- Met
- zonder
- zephyrnet
