Rejoignez-Nous sur

Transactions Ethereum lisibles: une nouvelle norme | par Alex Miller | Janv.2021

8cc97518 1b

News

Transactions Ethereum lisibles: une nouvelle norme | par Alex Miller | Janv.2021

Alex Miller

Le dernier Treillis La version du micrologiciel (v0.10.1) contient une nouvelle fonctionnalité intéressante: les transactions Ethereum lisibles. Cet article explique pourquoi nous pensons que cette fonctionnalité est nécessaire et comment les propriétaires de Lattice peuvent l’utiliser aujourd’hui.

Lorsque j’ai commencé à fouiller sur Ethereum fin 2015, il n’y avait presque aucun outil de développement. Le réseau venait juste de se lancer des mois auparavant et la plupart des gens (moi y compris) essayaient toujours de comprendre ce que c’était et ce qu’il pouvait faire. Les années suivantes ont connu une croissance folle de l’outillage des développeurs Ethereum. De 2015 à 2017, Truffe, Embarquer, web3.js, ethereumjs, et beaucoup d’autres se sont rapidement précipités sur les lieux et depuis lors, de plus en plus de générations d’outils de développement ont rapidement évolué (j’utilise toujours certains de ces outils initiaux, cependant).

Les premières interfaces utilisateur frontales ont également évolué rapidement. Quand MetaMask a été publié en 2016, il a ouvert la porte aux applications Web qui se sont connectées à Ethereum à l’aide des outils de développement susmentionnés. Cette explosion cambrienne de l’interface utilisateur et des outils de développement est la raison pour laquelle vous pouvez avoir une expérience DeFi transparente dans votre navigateur aujourd’hui.

Mais alors que les outils Ethereum se sont développés à un rythme rapide, la ligne de défense finale de l’utilisateur est restée largement inchangée. Les portefeuilles matériels ont été conçus dans les premiers jours de la cryptographie pour effectuer des actions simples: stocker des pièces et envoyer des pièces. C’était à peu près tout. Vous n’avez pas besoin d’un grand écran ou de nombreuses fonctionnalités d’utilisation si vous souhaitez simplement mettre vos bitcoins hors ligne et y accéder de temps en temps. Ainsi, bien que l’écosystème Ethereum ait énormément évolué, l’infrastructure du portefeuille matériel commun est restée largement inchangée.

Malheureusement, il est devenu clair que les portefeuilles matériels existants ne sont plus compatibles avec l’utilisateur Ethereum d’aujourd’hui.

Se faire dire que les portefeuilles matériels sont catégoriquement «sûrs» a bercé trop d’utilisateurs dans un faux sentiment de sécurité. En réalité, la sécurité de votre argent est aussi bonne que les outils que vous utilisez et la façon dont vous les utilisez.

Dans un récent exploit de haut niveau, un fondateur bien connu de la startup DeFi a été identifié par un pirate informatique et a fait échanger son extension MetaMask à distance avec une fausse version hautement ciblée qui a remplacé ses transactions par un transfert de jetons pré-construit conçu pour déplacer les jetons NXM de la victime vers l’attaquant. Malheureusement, l’attaque a fonctionné.

Ce que je trouve le plus troublant, c’est que la victime sait comment fonctionne Ethereum. Il est le co-fondateur d’une start-up à succès dans l’espace. Cette attaque aurait pu arriver à n’importe qui. Jetez un œil à cette photo du portefeuille matériel le plus populaire du marché:

Cette photo est de un article notre PDG Karl Kreder a écrit sur les vulnérabilités du portefeuille matériel en 2017. À l’époque, Karl a écrit ceci:

Maintenant, bien que le grand livre Nano S ait un écran sur l’appareil, il est toujours vulnérable aux attaques MIM. La raison en est qu’il n’affiche que 8 chiffres de l’adresse du destinataire. Cette confirmation de transaction à 8 chiffres peut être annulée pour un coût économique relativement faible. Notez également que l’affichage de 8 chiffres de l’adresse du destinataire n’est pas seulement vrai pour Ethereum, mais aussi pour Bitcoin et Litecoin à partir de MCU.

Comme vous pouvez le voir, l’appareil illustré ne peut même pas afficher une adresse Ethereum complète de 20 octets. Le vecteur d’attaque décrit ci-dessus a depuis été «corrigé» par défilement l’adresse à travers l’écran, mais l’utilisateur doit toujours lire 12 caractères à la fois et utiliser ces informations pour autoriser non seulement l’adresse du destinataire, mais également les données de transaction Ethereum, qui sont codées sous forme de chaîne hexadécimale. Voici la charge utile qui a été signée par erreur lors du vol transaction:

0xa9059cbb000000000000000000000000ad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1000000000000000000000000000000000000000000004e59bd7d27fbc4000000

Seriez-vous en mesure d’identifier les paramètres de cette transaction? Probablement pas. Et ce n’est qu’un simple transfert de jetons! Considérez plutôt une norme Commerce Uniswap (pas non plus une transaction terriblement compliquée):

0x7ff36ab5000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000800000000000000000000000004d543357b4440ed8f22a6407544f448eb2f09bb8000000000000000000000000000000000000000000000000000000005fd902560000000000000000000000000000000000000000000000000000000000000002000000000000000000000000c02aaa39b223fe8d0a0e5c4f27ead9083c756cc20000000000000000000000008581bbf2664790d127b6bb4431cd03a6f0b6eb13

Comment pouvons-nous raisonnablement nous attendre à ce qu’un utilisateur regarde ces données défiler sur l’écran, 12 caractères à la fois, et avoir confiance en ce qu’ils signent? Évidemment, nous ne pouvons pas.

Les portefeuilles matériels existants ne sont tout simplement pas équipés pour gérer ce problème en raison (entre autres) de leurs écrans de la taille d’un pouce. Heureusement avec la sortie du firmware v0.10.1, le GridPlus Treillis1 le portefeuille matériel offre maintenant un bien meilleur affichage:



Traduction de l’article de Alex Miller : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top
nunc Praesent odio libero felis id mi, eget Donec