Ethereum (ETH) est une plateforme blockchain connue pour sa capacité à créer des contrats intelligents et à (DApps) des applications décentralisées. Pour améliorer encore l’expérience utilisateur et la sécurité, Ethereum a introduit la dernière mise à niveau appelée Pectra, avec une caractéristique notable étant EIP-7702. Cependant, quelques semaines seulement après le déploiement de cette mise à niveau, un grave problème est apparu, amenant les experts en sécurité à remettre en question l’équilibre entre la convivialité et la sécurité d’Ethereum.
EIP-7702 : Améliorer la convivialité pour les portefeuilles Ethereum
La mise à niveau Pectra introduit l’EIP-7702, une fonctionnalité qui rend les portefeuilles Ethereum plus intelligents et plus faciles à utiliser, tout en améliorant la sécurité. Proposé par Vitalik Buterin, le fondateur d’Ethereum, l’EIP-7702 permet au portefeuille d’agir temporairement comme un contrat intelligent. Cela ouvre un large éventail d’utilités, notamment :
Bien que ces améliorations offrent une meilleure expérience utilisateur et renforcent la sécurité des portefeuilles, l'EIP-7702 a malheureusement créé une vulnérabilité pour les attaquants exploitants.
Attaque automatique avec EIP-7702 : Le prix de la simplification ?
Quelques semaines après le lancement de Pectra, des attaques automatiques ont émergé et exploité la fonctionnalité EIP-7702. Les attaquants ont exploité une faille dans l'utilisation de la commande d'autorisation EIP-7702, entraînant le retrait de fonds des portefeuilles compromis sans intervention de l'utilisateur.
Un rapport de Wintermute a révélé que plus de 80 % des commandes d’autorisation EIP-7702 sont utilisées par un seul contrat malveillant appelé CrimeEnjoyor. Il s’agit d’un code contractuel court, capable de copier-coller, ce qui permet aux attaquants d’effectuer rapidement et facilement des transactions. Une fois que l’utilisateur a pris le contrôle de l’accès à son portefeuille (thường par le biais de đảo) escroqueries, l’attaquant peut retirer les fonds immédiatement dans son portefeuille.
Un incident typique signalé par la société de sécurité blockchain Scam Sniffer est le cas d'un utilisateur ayant perdu près de 150 000 dollars dans une seule transaction. Ce n'est pas un cas isolé, car des milliers de transactions similaires ont été signalées, notamment liées au service Inferno Drainer – un outil célèbre dans le milieu des attaques automatisées.
! Source : WintermuteBien que l’EIP-7702 ait été critiqué pour avoir créé une faille de sécurité majeure, le vrai problème ne vient pas de cette fonctionnalité. Le problème central réside dans la fuite ou le vol de la clé privée de l’utilisateur. L’EIP-7702 aide uniquement les attaquants à mener ces attaques rapidement et à moindre coût.
Des entreprises de sécurité comme SlowMist ont souligné que la fuite de clés privées est la principale cause des attaques. C'est pourquoi les fournisseurs de portefeuilles doivent améliorer la fonctionnalité d'affichage des interactions des contrats et renforcer les couches de protection des utilisateurs. Sans amélioration de ces éléments de base, les fonctionnalités de sécurité avancées ne pourront pas être efficaces.
L'avenir d'Ethereum
Alors qu'Ethereum continue de se développer et d'introduire de nouvelles fonctionnalités, l'une des priorités importantes est de concevoir des portefeuilles plus intelligents, avec des alertes de signature de contrat claires et des mesures de sécurité renforcées. Des fonctionnalités avancées comme l'EIP-7702 pourraient améliorer l'utilité et l'expérience utilisateur, mais si les couches de sécurité de base ne sont pas maintenues, elles pourraient avoir l'effet inverse.
Un des facteurs clés de la sécurité d'Ethereum est l'éducation des utilisateurs. Les développeurs et les organisations de sécurité doivent accorder plus d'attention à l'orientation des utilisateurs sur la façon de protéger leur clé privée, tout en les avertissant des dangers des arnaques et des attaques automatisées.
La mise à niveau Pectra d'Ethereum avec l'EIP-7702 promet d'apporter des améliorations significatives pour les utilisateurs, mais ouvre également la porte à des risques non négligeables. Bien que cette fonctionnalité aide à la gestion du gaz et à des transactions plus efficaces, si les mécanismes de sécurité fondamentaux ne sont pas améliorés, les attaquants continueront à exploiter ces vulnérabilités pour mener des attaques automatisées.
Il est important qu'Ethereum continue de se développer non seulement en termes de fonctionnalités, mais aussi en matière de sécurité fondamentale. Des fonctionnalités avancées peuvent faciliter l'utilisation de la blockchain pour les utilisateurs, mais sans une plateforme de sécurité solide, ces améliorations peuvent devenir une opportunité pour les malfaiteurs plutôt que pour les utilisateurs légitimes.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Ethereum doit payer le prix de la simplification de l'après Pectra - Détails
Ethereum (ETH) est une plateforme blockchain connue pour sa capacité à créer des contrats intelligents et à (DApps) des applications décentralisées. Pour améliorer encore l’expérience utilisateur et la sécurité, Ethereum a introduit la dernière mise à niveau appelée Pectra, avec une caractéristique notable étant EIP-7702. Cependant, quelques semaines seulement après le déploiement de cette mise à niveau, un grave problème est apparu, amenant les experts en sécurité à remettre en question l’équilibre entre la convivialité et la sécurité d’Ethereum.
EIP-7702 : Améliorer la convivialité pour les portefeuilles Ethereum
La mise à niveau Pectra introduit l’EIP-7702, une fonctionnalité qui rend les portefeuilles Ethereum plus intelligents et plus faciles à utiliser, tout en améliorant la sécurité. Proposé par Vitalik Buterin, le fondateur d’Ethereum, l’EIP-7702 permet au portefeuille d’agir temporairement comme un contrat intelligent. Cela ouvre un large éventail d’utilités, notamment :
Bien que ces améliorations offrent une meilleure expérience utilisateur et renforcent la sécurité des portefeuilles, l'EIP-7702 a malheureusement créé une vulnérabilité pour les attaquants exploitants.
Attaque automatique avec EIP-7702 : Le prix de la simplification ?
Quelques semaines après le lancement de Pectra, des attaques automatiques ont émergé et exploité la fonctionnalité EIP-7702. Les attaquants ont exploité une faille dans l'utilisation de la commande d'autorisation EIP-7702, entraînant le retrait de fonds des portefeuilles compromis sans intervention de l'utilisateur.
Un rapport de Wintermute a révélé que plus de 80 % des commandes d’autorisation EIP-7702 sont utilisées par un seul contrat malveillant appelé CrimeEnjoyor. Il s’agit d’un code contractuel court, capable de copier-coller, ce qui permet aux attaquants d’effectuer rapidement et facilement des transactions. Une fois que l’utilisateur a pris le contrôle de l’accès à son portefeuille (thường par le biais de đảo) escroqueries, l’attaquant peut retirer les fonds immédiatement dans son portefeuille.
Un incident typique signalé par la société de sécurité blockchain Scam Sniffer est le cas d'un utilisateur ayant perdu près de 150 000 dollars dans une seule transaction. Ce n'est pas un cas isolé, car des milliers de transactions similaires ont été signalées, notamment liées au service Inferno Drainer – un outil célèbre dans le milieu des attaques automatisées.
! Source : WintermuteBien que l’EIP-7702 ait été critiqué pour avoir créé une faille de sécurité majeure, le vrai problème ne vient pas de cette fonctionnalité. Le problème central réside dans la fuite ou le vol de la clé privée de l’utilisateur. L’EIP-7702 aide uniquement les attaquants à mener ces attaques rapidement et à moindre coût.
Des entreprises de sécurité comme SlowMist ont souligné que la fuite de clés privées est la principale cause des attaques. C'est pourquoi les fournisseurs de portefeuilles doivent améliorer la fonctionnalité d'affichage des interactions des contrats et renforcer les couches de protection des utilisateurs. Sans amélioration de ces éléments de base, les fonctionnalités de sécurité avancées ne pourront pas être efficaces.
L'avenir d'Ethereum
Alors qu'Ethereum continue de se développer et d'introduire de nouvelles fonctionnalités, l'une des priorités importantes est de concevoir des portefeuilles plus intelligents, avec des alertes de signature de contrat claires et des mesures de sécurité renforcées. Des fonctionnalités avancées comme l'EIP-7702 pourraient améliorer l'utilité et l'expérience utilisateur, mais si les couches de sécurité de base ne sont pas maintenues, elles pourraient avoir l'effet inverse.
Un des facteurs clés de la sécurité d'Ethereum est l'éducation des utilisateurs. Les développeurs et les organisations de sécurité doivent accorder plus d'attention à l'orientation des utilisateurs sur la façon de protéger leur clé privée, tout en les avertissant des dangers des arnaques et des attaques automatisées.
La mise à niveau Pectra d'Ethereum avec l'EIP-7702 promet d'apporter des améliorations significatives pour les utilisateurs, mais ouvre également la porte à des risques non négligeables. Bien que cette fonctionnalité aide à la gestion du gaz et à des transactions plus efficaces, si les mécanismes de sécurité fondamentaux ne sont pas améliorés, les attaquants continueront à exploiter ces vulnérabilités pour mener des attaques automatisées.
Il est important qu'Ethereum continue de se développer non seulement en termes de fonctionnalités, mais aussi en matière de sécurité fondamentale. Des fonctionnalités avancées peuvent faciliter l'utilisation de la blockchain pour les utilisateurs, mais sans une plateforme de sécurité solide, ces améliorations peuvent devenir une opportunité pour les malfaiteurs plutôt que pour les utilisateurs légitimes.
Taylor