Эксперты из компании CertiK рассказали об обнаружении уязвимости в WalletConnect
Специалисты компании по безопасности блокчейнов CertiK опубликовали новый отчет в социальной сети X (ранее — Твиттер). Эксперты провели несколько исследований, в результате которых выявили важную проблему. Специалисты осуществляли «несвязанный тест на проникновение» и обнаружили XSS-уязвимость в Verify API WalletConnect.
Эксперты напомнили, что WalletConnect — популярный протокол, который связывает децентрализованные приложения (dApps) с криптовалютными кошельками. По словам исследователей, механизм эксплойта включал в себя создание фишингового сайта. Он нужен, чтобы обманом заставить пользователей авторизовать вредоносные транзакции, применяя доверие к названию WalletConnect.
Специалисты отметили, что разработчики проекта быстро отреагировали на отчет об ошибке. Им пришлось обновить функцию validate_format, чтобы снизить риск и повысить безопасность протокола.
По заверению экспертов, данный инцидент служит напоминанием об актуальности рисков безопасности в секторе Web 2.0 и в развивающейся среде Web 3.0. Это подчеркивает важность регулярных проверок и проявления бдительности, а также принятия превентивных мер.
«Успешные идентификация и устранение уязвимости не только защищают пользователей, но и повышают важность упреждающих проверок безопасности для быстрого выявления и ликвидации потенциальных угроз», — сообщила пресс-служба CertiK.
WalletConnect — это протокол для связи, который обеспечивает безопасное и надежное соединение между кошельком пользователя и dApp, позволяя им взаимодействовать друг с другом. Принцип работы основан на применении QR-кодов и шифровании с открытым ключом.
WalletConnect стал широко используемым протоколом в экосистеме блокчейнов. Он существенно облегчает процесс взаимодействия между юзерами и dApps, устраняя необходимость установки или настройки дополнительного программного обеспечения.