Pilih Laman
inChanger

Pengguna yang harus menggunakan kode QR harus memverifikasi detail transaksi sebelum akhirnya mengonfirmasi transaksi untuk menghemat uang dan sakit kepala.

Masalah kecil, ditambah dengan kurangnya koordinasi pengembang, dapat berdampak besar pada keamanan koin pengguna kripto.

Inti masalah:

Rabu, kepala keamanan di ZenGo , penyedia dompet cryptocurrency, men-tweet penelitian yang menunjukkan bahwa masalah dengan kode QR yang dihasilkan oleh aplikasi Coinbase.com telah mengakibatkan beberapa pengguna mengirim dana ke alamat kontrak daripada ke alamat dompet yang dimaksud dalam aplikasi. . Kesalahan ini secara efektif membuat dana terhambat, tanpa ada cara untuk membalikkan transaksi.

Masalah kode QR yang diidentifikasi ZenGo didasarkan pada masalah kompatibilitas mundur antara ERC-67 (standar format URL QR asli) dan standar EIP-681 yang lebih baru . Coinbase menggunakan EIP-681, menciptakan masalah kompatibilitas antara itu dan dompet lain menggunakan standar yang lebih lama.

“Kode QR adalah format yang sangat bermasalah untuk domain cryptocurrency,” kata Tal Be’ery, salah satu pendiri dan peneliti keamanan di ZenGo. “Karena kode QR tidak dapat dibaca secara manusiawi, sulit bagi pengguna untuk mendeteksi kesalahan, yang disebabkan oleh niat jahat atau kesalahan. Karena cryptocurrency tidak dapat diubah, kesalahan biasanya berakibat fatal. ”

Karena itu, kode QR bisa lebih andal dan tidak terlalu rentan terhadap kesalahan secara keseluruhan daripada penyalinan dan penempelan alamat dompet oleh manusia.

Masalah ini telah memengaruhi beberapa pengguna dalam delapan bulan terakhir dan, menurut Be’ery, kemungkinan sudah ada lebih lama. Itu juga dilaporkan kepada publik pada Desember 2020.

Standar kode EIP dan ERC QR
ZenGo menemukan masalah ini sebagai bagian dari proses jaminan kualitasnya. Be’ery mengatakan tim sedang menguji modul decoding QR ZenGo dengan memberinya kode QR, yang dihasilkan oleh berbagai dompet, dan memperhatikan bahwa aplikasi ZenGo tidak menangani QR aplikasi Coinbase untuk token ERC-20, seperti tether atau dai.

Token ERC-20 biasanya dapat digunakan untuk mewakili objek, memberikan hak suara, membayar biaya transaksi, crowdfund, dan memasukkan fitur baru ke dalam token. ERC-20 saat ini adalah standar token ERC paling populer di Ethereum.

Setelah kode QR didekodekan sesuai dengan standar URL kode QR lama yang digunakan oleh ZenGo, URL muncul di bidang alamat di bawah kode QR sebagai, pada dasarnya, “ethereum: <address>” diikuti oleh beberapa parameter opsional.

Dalam format yang lebih baru, didukung oleh aplikasi Coinbase, URL yang didekodekan muncul di bawah kode QR sebagai “ERC-20 ethereum: <contract address> / transfer? Address = <receiver address>“.

Ini berarti bahwa jika pengembang tidak berhati-hati dengan implementasinya, algoritme dapat memutuskan untuk hanya mengambil parameter pertama sebagai alamat yang relevan untuk dikirim dan mengabaikan semua yang lain, menurut Be’ery.

“Ketika algoritme ‘naif’ ini diterapkan pada format yang lebih baru, itu akan menyebabkan pengguna dompet salah mengirim dana ke kontrak ERC-20 itu sendiri dan bukan penerima yang dituju, yang mengakibatkan kerugian uang,” kata Be’ery.

Be’ery men-tweet sebuah contoh dari aplikasi Coinbase, dengan alamat pertama adalah alamat kontrak daripada alamat dompet.

Dokumentasi standar EIP-681 mengakui masalah ini, pada dasarnya menyatakan bahwa itu kompatibel ke belakang untuk pembayaran ETH tetapi tidak untuk pembayaran ERC-20.

‘Standar yang buruk’
Coinbase tidak memberikan komentar yang diminta pada waktu pers tetapi Pete Kim, kepala teknik Dompet Coinbase membalas tweet Be’ery.

Be’ery mengatakan sementara Coinbase tidak “salah” karena mengikuti beberapa standar, tim di ZenGo percaya ini adalah kasus klasik “Lebih baik menjadi pintar daripada menjadi benar.”

“Saat menerapkan fungsionalitas lintas dompet seperti kode QR yang dapat dibuat oleh satu dompet dan dikonsumsi oleh dompet lain, lebih baik menggunakan sikap ‘penyebut umum terendah’,” kata Be’ery.

“Secara khusus, ZenGo membuat kode QR yang menyandikan alamat dalam format mentah (Trust wallet juga melakukannya) yang hanya menentukan alamat dan tidak ada yang lain. Ini dasar dan karena itu menyisakan sedikit ruang untuk kesalahan dan ketidakcocokan. ”

Kim kemudian mengoreksi dirinya sendiri , mencatat bahwa standar baru digunakan pada aplikasi ritel Coinbase, atau aplikasi pertukaran mereka, daripada Coinbase Wallet, yang merupakan aplikasi dompet tanpa hak asuh.

Kim melanjutkan dengan mengatakan ini adalah bug di ZenGo karena tidak mendukung standar EIP-681, mencatat bahwa dompet lain seperti Trust, Exodus, Crypto.com dan Metamask semuanya mendukung EIP-681 dengan benar.

Memilih alamat yang benar
Sementara itu, sebagai aturan umum, Be’ery mengatakan pengguna yang harus menggunakan kode QR harus memverifikasi detail transaksi sebelum akhirnya mengonfirmasi transaksi. Misalnya, mencari alamat di Etherscan akan memberi tahu Anda apakah alamatnya adalah alamat kontrak atau alamat dompet. Sayangnya memeriksa standar mana yang didukung dompet pilihan Anda cukup sulit.

Semua ini mungkin tampak sulit bagi pendatang baru di luar angkasa yang tidak terbiasa dengan kontur crypto, dan mungkin saja. Namun, itu adalah sesuatu yang dapat menghemat banyak uang dan sakit kepala dalam jangka panjang.

“Itulah mengapa di ZenGo kami menambah kode QR kami dengan beberapa indikator visual pada jenis koin / token dan juga alamat itu sendiri untuk memudahkan perbandingan dan verifikasi,” kata Be’ery.

“Hal terpenting dengan membaca kode QR adalah tidak bingung dengan format dan standar yang berbeda, dan lebih baik gagal jika format tidak didukung (seperti yang kami lakukan) dan tidak mencoba ‘menebak’ dan menempatkan dana pelanggan kami di risiko. Kami mungkin memutuskan di masa depan untuk mendukung format ini juga, dan kemudian kami akan memilih alamat yang ‘benar’, jadi tidak ada dana [akan hilang]. ”

https://www.coindesk.com/coinbase-zengo-spar-qr-code-standards-could-strand-erc-20-tokens

inChanger