رتبها

[#Thread] Nous allons parler aujourd'hui des autorisations (approvals) et surtout ce que cela implique par rapport à vos Wallets.
Spoil : Non un @Ledger ne protègera ni vos #crypto, ni vos #NFTs dans ce cas de figure.
En route et surtout, accrochez-vous bien 👇

@Ledger Le système des autorisations ou approvals a été implémenté par #Ethereum grâce au langage Solidity dans les smart contract.
Leurs buts est de permettre à un contrat intelligent d’interagir avec un jeton spécifique qui se trouve dans votre #wallet crypto.

@Ledger Quand on parle de wallet #crypto, on parle aussi bien du portefeuille du renard que des cold wallet comme @Ledger, @iSafePal ou @Trezor.
Malgré le fait qu'il faut une action physique sur un Ledger par exemple, une fois l'autorisation donnée, tout est automatique.

@Ledger @iSafePal @Trezor Ces autorisations sont utilisées quand un utilisateur souhaite échanger un #token spécifique contre un autre, comme un #swap $UNI -> $DAI.
Pour que cet échange puisse être réalisé, il faudra au préalable donner l’autorisation au contrat afin qu’il ait accès à vos $UNI.

@Ledger @iSafePal @Trezor Pour que cette #autorisation soit effective, vous allez donner l'autorisation avec le paramètre "limite de dépense maximum".
A l'issue, vous allez signer et moyennant des #frais, écrire ces instructions sur la blockchain sur laquelle vous êtes actuellement en train d'interagir.

@Ledger @iSafePal @Trezor Ainsi, l'échange va se passer de la façon suivante :
🔸 Demande de swap : $UNI -> $DAI & signature de la transaction (vous)
🔸 Vérification du solde de votre wallet par le contrat
🔸 Récupération des $UNI sur votre wallet
🔸 Transfert des $DAI depuis la pool vers votre wallet

@Ledger @iSafePal @Trezor Le tout se fait dans la même transaction et de façon transparente sur la #blockchain.
Ce qu'il faut noter, c'est que c'est le contrat qui va récupérer vos #tokens et pas vous qui allez les envoyer.
Laisser un approvals actif permet donc au contrat de se servir si besoin.

@Ledger @iSafePal @Trezor Maintenant, imaginez que le smart contract en question, réputé comme sûr, se fasse pirater.
Que se passerait-il ? Les jetons pour lesquelles vous avez donné une autorisation se ferait purement et simplement siphonné comme ce fût le cas pour Furucombo 👇
rekt.news

rekt.news

@Ledger @iSafePal @Trezor Et ce même si vous avez un cold wallet comme @Ledger, @iSafePal ou @Trezor car vous avez donné l'autorisation au contrat de se servir.
Il n'y a donc aucun besoin de validation pour faire cette transaction, oui, même pour ce type de portefeuille #crypto.

@Ledger @iSafePal @Trezor Ce concept d'approbation est utilisé sur l'ensemble des blockchains dites EVM compatibles comme par exemple :
🔸 BNB Chain (BNB)
🔸 Fantom (FTM)
🔸 Polygon (MATIC)
🔸 Avalanche C-Chain (AVAX)
Ce qui implique de penser à nettoyer vos approvals là où vous avez interagit.

@Ledger @iSafePal @Trezor Comment révoquer les autorisations (#approvals) sur ses #wallets ?
Comme nous l'avons vu, les approbations sont inscrites dans la blockchain pour être utilisables.
Pour les révoquer, il faut réaliser l'opération inverse et écrire de nouveau (contre des frais) dans la blockchain

@Ledger @iSafePal @Trezor Par chance, les outils sont aujourd'hui beaucoup plus nombreux qu'ils l'étaient par le passé.
Ainsi, il est possible d'utiliser des outils généralistes & multi-chain pour révoquer ça comme :
🔸 Revoke.cash
🔸 Unrekt.net
🔸 Cointool.app

Revoke.cash

Unrekt.net

Cointool.app

@Ledger @iSafePal @Trezor Les explorateurs ont eux aussi mis en place ces outils pour vous permettre de faire du nettoyage sur différentes blockchains.
Vous retrouvez le panel des différents outils sur l'article officiel sur @AuCoinduBloc juste 👇
#comment-revoquer-les-approvals-sur-ses-wallets" target="_blank" rel="noopener" onclick="event.stopPropagation()">aucoindubloc.com

aucoindubloc.com

@Ledger @iSafePal @Trezor @AucoinDubloc Petite #astuce
En fonction de la quantité d’approbations et de la #blockchain, il peut être plus intéressant d’abandonner une adresse.
Pour cela il faudra simplement transférer les fonds vers un nouveau #portefeuille totalement vierge.

@Ledger @iSafePal @Trezor @AucoinDubloc Néanmoins vous vous en douterez bien, c'est une technique plus compliquée avec les cold wallets car il faudra réinitialiser votre matériel puis générer une nouvelle seed avant de l’importer.
Un processus pas forcément accessible à la majorité des utilisateurs et assez long.

@Ledger @iSafePal @Trezor @AucoinDubloc Pendant que nous y sommes, parlons du cas du #SetApprovalForAll et sa dangerosité pour les #NFTs.
Si vous suivez l’actu, vous avez probablement dû voir passer cette fameuse fonction qui à permis de vider de nombreux wallets de leurs NFTs.
aucoindubloc.com

aucoindubloc.com

@Ledger @iSafePal @Trezor @AucoinDubloc C’est une fonction qui a vu le jour grâce au standard ERC-721 (les NFTs).
La doc officielle indique qu'elle permet de définir ou annuler l’approbation d’un opérateur donné et l’autorise à transférer tous les jetons de l’expéditeur en son nom.
#ERC721-setApprovalForAll-address-bool-" target="_blank" rel="noopener" onclick="event.stopPropagation()">docs.openzeppelin.com

docs.openzeppelin.com

@Ledger @iSafePal @Trezor @AucoinDubloc Quand vous vendez des NFT sur une #marketplace, vous devez l'autoriser à transférer les articles vendus de votre adresse à celle de l’acheteur.
Vous faites confiance à la place de marché, vous l'autorisez à vendre vos NFT, pas tous vos NFT, mais les NFT que vous possédez.

@Ledger @iSafePal @Trezor @AucoinDubloc En d’autre terme, donner une autorisation de type #SetApprovalForAll qui permet à la plateforme d’envoyer vos NFT une fois vendu.
Néanmoins, ce genre d’autorisation signée avec un #smartcontract corrompu permet de donner l’accès intégrale aux #NFTs de votre wallet.

@Ledger @iSafePal @Trezor @AucoinDubloc Encore une fois, que vos #NFTs soient sur un @Ledger ou un simple wallet MetaMask ne changera absolument rien car c'est une autorisation que vous avez donné en âme et conscience.
Aucune validation de votre part ne sera nécessaire lors du braquage.

@Ledger @iSafePal @Trezor @AucoinDubloc Vous aurez donc maintenant parfaitement compris comment fonctionnent les attaques de #phishing qui vous demandent de signer une autorisation.
Vous devez être particulièrement rigoureux sur les autorisations que vous donnez aux contrats.

@Ledger @iSafePal @Trezor @AucoinDubloc De nombreux sites de confiance sont régulièrement victimes de ce genre d'attaque :
🔸 Coingecko et Etherscan le 13 Mai 2022
🔸 PancakeSwap le 15 Mars 2021
🔸 Serveurs Discord
🔸 Annonces publicitaires Google
Ne signez pas n'importe quoi sans en connaître les conséquences.

@Ledger @iSafePal @Trezor @AucoinDubloc De plus, il vaut mieux éviter de stocker des fonds sur des portefeuilles qui ont des approbations en cours.
Les systèmes de stockage à froid (cold #wallet) sont conçu pour stocker et non pas pour faire vos emplettes habituelles sur la #DeFi sous peine de lourdes pertes.

@Ledger @iSafePal @Trezor @AucoinDubloc Retrouvez l'intégralité de ces éléments dans l'article à ce sujet sur @AuCoinduBloc.
Protéger ses #crypto sur le long terme est l'une des choses primordiales dont vous devez vous préoccuper dès maintenant.
aucoindubloc.com

aucoindubloc.com

L'intégralité du #thread en question.

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

فك الثريد