La communauté doutait de la sécurité des jetons ERC-404

La communauté doutait de la sécurité des jetons ERC-404

eth_pow_fork-min

Les jetons ERC-404 continuent de gagner en popularité, mais les développeurs de cryptographie ont souligné les risques de sécurité de la norme expérimentale qui n’a pas encore été auditée.

Comment fonctionne l’ERC-404

La norme est une implémentation mixte de ERC-20/ERC-721, où lorsque vous achetez une pièce, un NFT apparaît automatiquement sur votre portefeuille. Dans le même temps, il vous permet de posséder une partie fractionnaire du jeton non fongible dit « fractionnaire ».

« L’objectif de l’ERC-404 est de permettre aux NFT d’être négociés avec une liquidité plus fiable dans des pools de jetons fongibles. Ils y sont parvenus en rendant essentiellement invalides les transferts inférieurs à un certain montant (le nombre total de NFT). Etrange choix […]», a écrit un développeur et auditeur Solidity sous le nom d’utilisateur Quit.

L’expert a analysé le code ERC-404 et a remarqué de nombreux détails communs avec les normes prises comme base. Les modifications apparaissent dans le mécanisme de confirmation de transaction.

Quit a expliqué que si le montant envoyé se situe dans la « plage de jetons frappés », les actifs sont déplacés au format ERC-721, avec une valeur supérieure ou nulle – en ERC-20.

Le développeur a également noté que la fonction, qui émule ERC721Enumerable, est « très coûteuse à maintenir ». Il est chargé d’afficher une liste de tous les jetons appartenant au compte.

Selon lui, le transfert d’un NFT de la collection standard Azuki coûte environ 45 000 Gwei, et le transfert d’un jeton Pandora coûte plus de 100 000 Gwei.

« [В ERC-404] la transaction brûle/crée le NFT en fonction des changements de solde de l’expéditeur/du destinataire. Dans le cas de l’enregistrement d’un actif, nous avons besoin d’une liste de jetons non fongibles appartenant à l’expéditeur », a expliqué Quit à propos du coût élevé du gaz.

Selon la page officielle de GitHub, l’ERC-404 est expérimental et les deux normes combinées ne sont « pas destinées à être mélangées ». Cependant, les développeurs s’efforcent de les combiner « de la manière la plus fiable possible tout en minimisant les compromis ».

Les problèmes de sécurité

Après une étude détaillée, Quit a remarqué la menace d’un exploit. Selon son analyse, les NFT utilisant ERC-404 sont vulnérables au vol par les détenteurs de jetons fongibles ERC-404.

Ceci est réalisable dans le cas où le NFT aurait été déposé dans un protocole de prêt qui n’est pas correctement configuré pour la nouvelle norme.

«C’est un exploit que je m’attends à voir à un moment donné si l’ERC-404 reste populaire. […] La leçon est que nous ne devons pas surcharger les signatures de fonctions existantes avec de nouveaux mécanismes cachés et peu intuitifs », a déclaré Quit.

L’ERC-404 n’a pas encore été approuvé par la Fondation Ethereum et la communauté, et la page officielle de l’EIP n’est pas disponible au moment de la rédaction. Cependant, le code du programme n’a pas fait l’objet d’audits.

Derrière le standard expérimental se cachent des développeurs anonymes sous les pseudonymes ctrl et Acme. Lors d’une conversation avec Cointelegraph, ils ont déclaré que l’équipe du projet « travaillait 24 heures sur 24 » pour enregistrer l’EIP :

« C’est un long processus, il y a beaucoup de politiques impliquées. » […] Cela prend généralement quelques semaines. »

Obtenir l’approbation pour ce genre d’initiative, disent-ils, est « l’une des choses les plus bureaucratiques imaginables ».

Interrogés sur la sécurité et les exploits possibles, les développeurs ont transféré la responsabilité vers d’autres plates-formes qui « intègrent et utilisent à mauvais escient le contrat ERC-404 ».

« C’est comme publier une photo d’une voiture et expliquer comment y entrer par effraction par une porte ouverte », ont-ils ajouté.

ForkLog avait précédemment rapporté que la croissance significative de Pandora avait rapporté au commerçant environ 1,2 million de dollars en deux jours.

Abonnez-vous à ForkLog sur les réseaux sociaux

Vous avez trouvé une erreur dans le texte ? Sélectionnez-le et appuyez sur CTRL+ENTRÉE

Newsletters ForkLog : restez à l’écoute de l’industrie Bitcoin !



Voir l’article original en russe

Trezor One – Portefeuille Matériel de Crypto-Monnaie – Le Stockage à Froid Le Plus Fiable pour Bitcoin, Ethereum, ERC20 et Bien d’autres (Noire)