dApp Frontend wurde gehackt, was zu Diebstählen von Nutzern führte. Gibt es eine Lösung?
In den letzten Tagen haben Nutzer über das Binance Wallet auf die Zerobase Frontend-Seite (die von Hackern manipuliert wurde) zugegriffen. Nach der Genehmigung wurden Gelder gestohlen, was ein zentrales Diskussionsthema ist.
Aus der Sicht der Nutzer ist es im normalen Betrieb nahezu unmöglich, jedes Mal zu überprüfen, ob der Vertrag korrekt ist.
Da das Problem tatsächlich besteht und schwer zu vermeiden ist, wie kann man es lösen?
Am Nachmittag sagte der Superlehrer: Die Wallet-Seite sollte so schnell wie möglich eine direkte Anbindung an den Vertrag umsetzen, um zu vermeiden, dass Nutzer auf das Frontend angewiesen sind, um Vertragsoperationen durchzuführen.
Durch die Reduzierung der Schritte in komplexen Prozessen kann ein sicheres und praktikables Lösungskonzept gewährleistet werden. Derzeit versuchen bereits einige Wallets und Drittanbieter-Tools, diesen Ansatz umzusetzen.
👇 Zum Beispiel einige Beispiele, die von den Gruppenmitgliedern ergänzt wurden:
1️⃣ DeBank kann den Vertrag „Withdraw“ direkt aufrufen, selbst wenn die Protokoll-Frontend nicht mehr verfügbar ist.
2️⃣ Wallet Rabbit unterstützt den direkten „Withdraw“ von Verträgen einiger Protokolle.
3️⃣ Der DeFi-Bereich eines bestimmten X Wallets ist direkt mit dem Vertrag verbunden, ohne auf das Frontend angewiesen zu sein.
4️⃣ Ein bestimmtes Wallet zeigt beim Aufrufen des Vertrags die Popularität (Anzahl der Aufrufe) des Vertrags als Sicherheitsreferenz an.
Die ersten beiden Methoden werden normalerweise als Mittel zur Rettung von Vermögenswerten genutzt, wenn das Protokoll-Frontend geschlossen oder nicht geöffnet ist. Das OKX Wallet verbindet sich derzeit hauptsächlich mit aktiven Protokollen und deckt nicht alle Protokolle ab. Die vierte Methode, die mathematische Statistiken als Indikator verwendet, ist ebenfalls sehr gut.
Aber die „Anbindung des Wallets an den Vertrag“ ist für die Nutzer immer noch die direkteste und effektivste Lösung.
🤔 Wo liegt also das Problem?
1️⃣ Hoher Arbeitsaufwand: Die Wallet-Seite muss die Protokollverträge einzeln anpassen, was im Vergleich zu einem direkten Wechsel zur dApp eine offensichtliche zusätzliche Belastung darstellt.
2️⃣ Unvereinheitlichte Standards: Die Namen der Abhebungs-APIs verschiedener Protokolle sind nicht konsistent; einige heißen „Withdraw“, andere „Redeem“, die Parameter variieren ebenfalls. Wenn es möglich wäre, eine Standardisierung wie bei Überweisungen oder der Abfrage von Token-Bilanzen zu erreichen, würde die Anbindung natürlich reibungsloser verlaufen.
Die gute Nachricht ist, dass ich gerade durch eine Anfrage an die KI erfahren habe, dass der ERC-4626 (Standard für tokenisierte Schatzkammern) bereits einheitliche „Deposit/Withdraw“-Schnittstellen verlangt, und einige Protokolle unterstützen dies bereits.
Die umfassende Verbreitung wird jedoch noch Zeit benötigen. Bis dahin müssen die Nutzer weiterhin wachsam bleiben und möglichst vorsichtig handeln.
