Des étapes simples pour protéger votre portefeuille contre les risques illimités d’allocation ERC-20

Please follow and like us:

Participer à l’espace financier décentralisé nécessite souvent d’accorder aux projets certaines autorisations pour dépenser des jetons à partir de son propre portefeuille.

Ces autorisations (appelées allocations ERC-20) aident à simplifier les processus d’interaction de contrat intelligent qui permettent aux utilisateurs d’envoyer des fonds à un contrat tout en appelant simultanément une fonction de changement d’état.

Cependant, les acteurs malveillants peuvent utiliser cette allocation pour drainer des fonds d’un commerçant sans méfiance.
Pour comprendre ce vecteur de risque, il est peut-être important d’expliquer comment fonctionne l’autorisation d’allocation ERC-20.

Lors de la première interaction avec un nouveau projet de la DeFi, les traders doivent autoriser l’application décentralisée à dépenser des fonds – généralement de l’Ether (ETH) ou un stablecoin comme Tether (USDT) – à partir de leur portefeuille.

Cette allocation est souvent illimitée pour éliminer le besoin d’étapes d’approbation futures par le commerçant lors de l’exécution de transactions ultérieures.
Dans des conditions d’exploitation normales, le projet de la DeFi ne dépensera que le montant spécifié fixé par le commerçant.

Cependant, des conditions de fonctionnement anormales peuvent apparaître comme cela a été vu à de nombreuses reprises dans l’espace de la DeFi. Les bugs de contrat intelligents comme ceux que Bancor a subis en juin 2020 peuvent exposer cette vulnérabilité et drainer les fonds des portefeuilles des utilisateurs.

Au cours de la manie de la DeFi 2020, des acteurs voyous ont également exploité cette vulnérabilité pour voler des fonds à des traders sans méfiance. Un tel exemple était les UniCats où les développeurs de projet eux-mêmes ont volé des jetons Uniswap (UNI) à leurs utilisateurs.

Une pratique utile que les commerçants peuvent adopter est de revoir leurs allocations existantes sur leur portefeuille.
Des plates-formes telles que revoke.cash et approved.zone peuvent être utilisées pour identifier les quotas ERC associés à une adresse ainsi que des options pour révoquer ou réduire ces quotas.

Une autre méthode qui peut être utilisée est :  au cours de la première étape d’interaction initiale où, au lieu d’un nombre illimité, les traders peuvent sélectionner des limites de dépenses personnalisées sur leurs portefeuilles MetaMask lors de l’approbation des limites de dépenses pour les nouveaux jetons.

Avec ERC-20, la norme de facto pour l’espace de la DeFi, les utilisateurs devront toujours faire face au risque d’allocation illimitée. Cependant, les commerçants peuvent adopter ces pratiques utiles pour minimiser les dangers associés à cette vulnérabilité potentielle.

 

Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *