dApp front-end è stato compromesso, causando il furto degli utenti, ci sono soluzioni?
Negli ultimi giorni, gli utenti hanno visitato la front-end di Zerobase tramite il wallet di Binance (già compromesso dagli hacker) e, dopo aver autorizzato, i fondi sono stati rubati, è questo l'argomento principale di discussione.
Dal punto di vista degli utenti, nel normale processo operativo, è quasi impossibile verificare ogni volta se il contratto è corretto.
Poiché il problema esiste realmente ed è difficile da evitare, come possiamo risolverlo?
Nel pomeriggio, il Super insegnante ha detto: il wallet dovrebbe implementare al più presto un'interfaccia diretta con il contratto, evitando che gli utenti dipendano dalla front-end per le operazioni contrattuali.
Riducendo i passaggi in processi complessi, per garantire che le soluzioni sicure siano effettivamente praticabili, attualmente questa idea è già in fase di prova da parte di alcuni wallet e strumenti di terze parti.
👇 Ad esempio, alcuni esempi forniti dagli amici nel gruppo:
1️⃣ DeBank può chiamare direttamente il Withdraw del contratto, anche se la front-end del protocollo è stata rimossa.
2️⃣ Il wallet Rabbit supporta il Withdraw diretto dei contratti di alcuni protocolli.
3️⃣ La sezione DeFi di un certo wallet X si collega direttamente al contratto, senza dipendere dalla front-end.
4️⃣ Un certo wallet fornisce un avviso sulla popolarità del contratto (numero di chiamate) quando chiama il contratto, come riferimento di sicurezza.
Le prime due modalità sono solitamente utilizzate come misure di salvataggio degli asset quando la front-end del protocollo è chiusa o non aperta, mentre il wallet OKX si collega principalmente ai protocolli attivi, senza coprire tutti i protocolli, la quarta modalità che utilizza metodi matematici statistici come indicatori è anche molto buona.
Ma l'«interfaccia del wallet con il contratto» è comunque la più diretta ed efficace per gli utenti.
🤔 Quindi, qual è la difficoltà?
1️⃣ Grande carico di lavoro: il wallet deve collegare uno ad uno i contratti dei protocolli, rispetto al passaggio diretto al dApp, il carico aggiuntivo è evidente.
2️⃣ Standard non unificati: i nomi delle interfacce di prelievo dei diversi protocolli non sono coerenti, alcuni si chiamano Withdraw, altri Redeem, e i parametri sono diversi. Se fosse possibile standardizzarli come per i trasferimenti e le consultazioni del saldo dei token, l'integrazione sarebbe naturalmente più fluida.
La buona notizia è che, appena informato tramite AI, attualmente l'ERC-4626 (standard di tesoreria tokenizzata) richiede interfacce di Deposit/Withdraw unificate, e già alcuni protocolli le supportano.
Tuttavia, una diffusione completa richiede ancora tempo. Fino ad allora, gli utenti devono rimanere vigili e prestare la massima attenzione nelle operazioni.
