Fintech

Coinbase và ZenGo vượt qua các tiêu chuẩn mã QR có thể tạo ra mã thông báo ERC-20

Người dùng phải sử dụng mã QR nên xác minh chi tiết giao dịch trước khi cuối cùng xác nhận giao dịch để tiết kiệm tiền và đau đầu cho mình.Giải quyết câu hỏi hóc búa về cách giữ an toàn cho quỹ tiền điện tử của bạnBiên tập viên Ollie Leech của CoinDesk Learn tham gia “All About Bitcoin” để giải thích những điều cơ bản về lưu trữ tiền điện tử, sự khác biệt giữa ví nóng và ví lạnh cũng như ưu và nhược điểm của chúng.

Các vấn đề nhỏ, cộng với sự thiếu phối hợp của các nhà phát triển, có thể có tác động rất lớn đến sự an toàn của tiền điện tử của người dùng. 

Trường hợp tại điểm:

Thứ tư, người đứng đầu bộ phận bảo mật tại ZenGo , một nhà cung cấp ví tiền điện tử, đã tweet về nghiên cứu cho thấy rằng các vấn đề với mã QR do ứng dụng của Coinbase.com tạo ra đã dẫn đến việc một số người dùng gửi tiền đến địa chỉ hợp đồng thay vì đến địa chỉ ví dự định trong ứng dụng . Lỗi này có hiệu quả làm thắt chặt các khoản tiền, không có cách nào để đảo ngược giao dịch. 

Vấn đề mã QR mà ZenGo xác định được dựa trên vấn đề tương thích ngược giữa ERC-67  (tiêu chuẩn định dạng URL QR ban đầu) và tiêu chuẩn EIP-681 mới hơn  . Coinbase sử dụng EIP-681, tạo ra các vấn đề về khả năng tương thích giữa nó và các ví khác bằng cách sử dụng tiêu chuẩn cũ hơn.

Tal Be’ery, nhà đồng sáng lập và nhà nghiên cứu bảo mật tại ZenGo cho biết: “Mã QR là một định dạng rất có vấn đề đối với lĩnh vực tiền điện tử. “Vì con người không thể đọc được mã QR, nên người dùng khó có thể phát hiện ra lỗi, do ác ý hoặc do nhầm lẫn. Do tính không thể phục hồi của tiền điện tử, các lỗi thường gây tử vong ”.

Điều đó đang được nói, mã QR có thể đáng tin cậy hơn và ít bị lỗi hơn so với việc con người sao chép và dán địa chỉ ví. 

Sự cố này đã ảnh hưởng đến một số người dùng trong vòng tám tháng qua và, theo Be’ery thì có thể còn lâu hơn nữa. Nó cũng đã được báo cáo công khai vào tháng 12 năm 2020. 

Các tiêu chuẩn mã QR EIP và ERC

ZenGo đã phát hiện ra vấn đề này như một phần của quy trình đảm bảo chất lượng của mình. Be’ery cho biết nhóm đang thử nghiệm mô-đun giải mã ZenGo QR bằng cách cấp cho nó mã QR, được tạo bởi nhiều loại ví và nhận thấy rằng ứng dụng ZenGo không xử lý QR ứng dụng Coinbase cho các mã thông báo ERC-20, chẳng hạn như tether hoặc dai.

Mã thông báo ERC-20 thường có thể được sử dụng để đại diện cho các đối tượng, trao quyền biểu quyết, thanh toán phí giao dịch, huy động vốn từ cộng đồng và kết hợp các tính năng mới vào mã thông báo. ERC-20 hiện là tiêu chuẩn mã thông báo ERC phổ biến nhất trên Ethereum. 

Sau khi mã QR được giải mã theo tiêu chuẩn URL mã QR cũ hơn được ZenGo sử dụng, URL sẽ xuất hiện trong trường địa chỉ bên dưới mã QR, về cơ bản, “ethereum: <address>” theo sau là một số thông số tùy chọn.

Ở định dạng mới hơn, được ứng dụng của Coinbase hỗ trợ, URL được giải mã xuất hiện bên dưới mã QR là “ERC-20 ethereum: <contract address> / transfer? Address = <người nhận địa chỉ>“. 

Điều này có nghĩa là nếu các nhà phát triển không cẩn thận với việc triển khai của họ, một thuật toán có thể quyết định chỉ lấy tham số đầu tiên làm địa chỉ liên quan để gửi đến và bỏ qua tất cả những người khác, theo Be’ery. 

“Khi thuật toán ‘ngây thơ’ này được áp dụng trên định dạng mới hơn, nó sẽ khiến người dùng ví gửi nhầm tiền đến chính hợp đồng ERC-20 chứ không phải người nhận dự kiến, dẫn đến mất tiền”, Be’ery nói. 

Be’ery đã tweet một ví dụ từ ứng dụng của Coinbase, với địa chỉ đầu tiên là địa chỉ hợp đồng chứ không phải địa chỉ ví.

Tài liệu tiêu chuẩn EIP-681 thừa nhận vấn đề này, về cơ bản nói rằng nó tương thích ngược với ETH nhưng không phải thanh toán ERC-20. Đọc thêm : Chúng tôi đã săn lùng các trò gian lận tiền điện tử trong Google và Apple App Stores. Đây là những gì chúng tôi tìm thấy

‘Một tiêu chuẩn khủng khiếp’

Coinbase đã không đưa ra bình luận được yêu cầu trước thời điểm báo chí nhưng Pete Kim, người đứng đầu kỹ thuật của Ví Coinbase đã trả lời tweet của Be’ery. 

Be’ery nói trong khi Coinbase không “sai” bởi vì nó đang tuân theo một số tiêu chuẩn, nhóm tại ZenGo tin rằng đó là một trường hợp kinh điển về “Thà thông minh hơn là đúng.”

Be’ery nói: “Khi triển khai một chức năng ví chéo, chẳng hạn như mã QR có thể được tạo bởi một ví và sử dụng bởi ví khác, tốt hơn nên sử dụng thái độ ‘mẫu số chung thấp nhất’.

“Cụ thể, ZenGo tạo mã QR mã hóa địa chỉ ở định dạng thô (Trust wallet cũng làm được điều đó) chỉ xác định địa chỉ và không có gì khác. Nó cơ bản và do đó ít có chỗ cho những sai lầm và không tương thích ”. 

Kim sau đó đã tự sửa chữa , lưu ý rằng tiêu chuẩn mới đang được sử dụng trên ứng dụng bán lẻ của Coinbase hoặc ứng dụng trao đổi của họ, thay vì Coinbase Wallet, một ứng dụng ví phi công nghiệp.

Kim tiếp tục nói rằng đây là một lỗi trong ZenGo vì không hỗ trợ tiêu chuẩn EIP-681, lưu ý rằng các ví khác như Trust, Exodus, Crypto.com và Metamask đều hỗ trợ EIP-681 một cách chính xác.

Chọn đúng địa chỉ

Trong khi đó, theo nguyên tắc chung, Be’ery cho biết người dùng phải sử dụng mã QR nên xác minh chi tiết giao dịch trước khi cuối cùng xác nhận giao dịch. Ví dụ: tìm kiếm địa chỉ trên Etherscan sẽ cho bạn biết địa chỉ đó là địa chỉ hợp đồng hay địa chỉ ví. Thật không may, việc kiểm tra các tiêu chuẩn mà ví ưa thích của bạn hỗ trợ là khá khó khăn.

Tất cả điều này có vẻ khó khăn đối với những người mới tham gia vào không gian không quen thuộc với các đường nét của tiền điện tử, và nó có thể xảy ra. Tuy nhiên, đó là thứ có thể giúp họ tiết kiệm kha khá tiền và đau đầu về lâu dài. 

“Đó là lý do tại sao trong ZenGo, chúng tôi tăng cường mã QR của mình với một số chỉ báo trực quan trên loại đồng xu / mã thông báo và cũng chính là địa chỉ để dễ dàng so sánh và xác minh,” Be’ery nói.

“Điều quan trọng nhất với việc đọc mã QR là không bị nhầm lẫn bởi các định dạng và tiêu chuẩn khác nhau, và tốt hơn là không thành công trong trường hợp định dạng không được hỗ trợ (như chúng tôi làm) và không cố gắng ‘đoán’ và đặt tiền của khách hàng vào rủi ro. Trong tương lai, chúng tôi cũng có thể quyết định hỗ trợ định dạng này và sau đó chúng tôi sẽ chọn địa chỉ ‘phù hợp’ để không có tiền [sẽ bị mất]. “

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button