Avec l'élan repris par les mises à niveau relativement fluides du hard fork Shapella (Shanghai + Capella) et Dencun (Deneb + Cancun), le prochain hard fork d'Ethereum était censé être un jeu d'enfant. Néanmoins, plusieurs analystes brandissent des signaux d’alarme concernant l’un de ses changements de code, EIP-3074.
Grâce à l'EIP-3074, Pectra introduira des codes qui permettront aux utilisateurs de déléguer tous leurs actifs Ethereum à des soi-disant Invokers, des comptes externes (EOA) auxquels les utilisateurs doivent faire confiance pour ne pas voler leur argent.
Suite à la convention de dénomination « valise étoile + ville », le prochain hard fork Pectra (Electra+Prague) introduira deux nouveaux codes d'opération : AUTH et AUTHCALL. Ensemble, ces codes constituent la proposition d'amélioration Ethereum numéro 3074 (EIP-3074).
Les deux codes sont faciles à comprendre. AUTH délègue le pouvoir à un Invoker pour effectuer des transactions pendant qu'AUTHCALL appelle cette autorisation préalable pour effectuer des opérations ultérieures en utilisant cette autorisation.
Incroyablement – et pour la première fois dans l'histoire d'Ethereum – ces deux codes permettent à une entité tierce d'envoyer ou de négocier des actifs Ethereum, y compris des NFT et des jetons ERC-20 comme l'USDC, dans votre portefeuille pour toujours. À moins que les développeurs ne modifient l’EIP avant les hard forks d’Ethereum plus tard cette année, les pouvoirs délégués restent définitivement la propriété de l’Invoker.
Lire la suite : La Fondation Ethereum abandonne le « canari de garantie »
EIP-3074 donne encore plus de pouvoir aux fabricants de portefeuilles
Bien que d'autres détails sur les codes AUTH et AUTHCALL soient assez techniques, un dernier élément d'importance générale pour la plupart des participants à la cryptographie est le fait que l'EIP-3074 confie des pouvoirs sans précédent aux fabricants de portefeuilles.
Parce que les développeurs d'Ethereum réalisent la puissance étendue et permanente des instructions AUTH sur la machine virtuelle Ethereum (EVM), ils ont décidé de limiter les EOA auxquelles les utilisateurs peuvent déléguer leurs actifs. Plus précisément, ils ont proposé de limiter les EOA à une liste blanche maintenue par des fournisseurs de portefeuilles pré-approuvés comme MetaMask.
La solution à ce problème de blockchain ? Tiers de confiance.
EIP-3074 : Faites-nous confiance, mon frère.
Le PDG de ChainArgos, Jonathan Reiter, a expliqué encore plus explicitement les nouveaux pouvoirs des Invokers dans EIP-3074, en déclarant : « Je délègue l'autorité sur mon compte à un Invoker – quelque chose qui peut désormais appeler du code sur mes actifs – et cette chose a maintenant la capacité de faire des choses avec mes actifs. Et il n'y a aucun moyen de révoquer cette délégation… Le problème ici est que, parce que vous ne pouvez pas la révoquer, si je délègue à un contrat – même si je pense que ce contrat est acceptable aujourd'hui – s'il est évolutif, ils peuvent voler mes jetons à l'avenir. »
Les chercheurs et auditeurs en sécurité ont soulevé des préoccupations similaires. En effet, il ne suffit pas que l'utilisateur s'assure simplement qu'il délègue uniquement à des EOA actuellement dignes de confiance. Si ces EOA sont des contrats intelligents évolutifs, le propriétaire des clés privées de ces EOA pourrait à l'avenir échanger du code honnête contre du code malveillant.
Pire encore, même si un EOA est immuable, si cet EOA interagit avec des contrats intelligents supplémentaires et que ces contrats intelligents tiers sont évolutifs, l'EIP-3074 pourrait exposer les actifs des utilisateurs au vol via des mises à niveau de code tiers malveillantes à l'avenir.
Lire la suite : Le piratage de Blast L2 suscite un débat sur la centralisation des rollups Ethereum
Pourquoi donnons-nous davantage de pouvoir aux plus puissants ?
Compte tenu de tous ces risques, quel est exactement l’intérêt de l’EIP-3074 en premier lieu ? Surtout, de l'avis du co-auteur Matt Garnett, le code permettra aux utilisateurs d'économiser du temps et de l'argent, à condition que les Invokers restent honnêtes. Considérez l'expérience d'un débutant utilisant Uniswap. Ils doivent d’abord signer manuellement pour autoriser Uniswap. Ensuite, ils doivent payer pour activer l’ETH sur Uniswap avant de s’inscrire et de payer de l’essence pour activer l’USDC. Ensuite, ils signent et paient du gaz pour échanger l’ETH contre de l’USDC et si plusieurs actifs sont impliqués, chacun doit également être activé avec des frais de signature et de gaz distincts.
Dans le monde du hard fork post-Pectra, bon nombre de ces signatures et paiements de gaz pourraient se consolider. Pour l'utilisateur, il ne signerait qu'une seule fois à AUTH un invoker avec l'autorisation de échanger perpétuellement leur ETH ou USDC en leur nom — sans signatures ultérieures.
En résumé, EIP-3074 ajoute plus de confiance et de pouvoir avec des sociétés centralisées et déjà assez puissantes comme MetaMask de Consensys. À moins que les développeurs ne repensent ce changement logiciel, la mise à niveau incitera les utilisateurs à confier une autorité perpétuelle à des Invokers tiers. Ces entités peuvent désormais contrôler les portefeuilles des utilisateurs et pourraient, par le biais de leurs propres mises à niveau de contrats intelligents ou de celles de tiers, modifier les règles du jeu à l'avenir pour simplement voler l'argent des utilisateurs.
Vous avez un conseil ? Envoyez-nous un e-mail ou ProtonMail. Pour des nouvelles plus informées, suivez-nous sur X, Instagram, Blueskyet la Google Actualitésou abonnez-vous à notre YouTube canal.
Source : https://protos.com/ethereums-eip-3074-upgrade-could-let-wallet-makers-steal-your-money/