Les jetons ERC-20 font partie des actifs les plus fréquemment volés dans l’industrie de la cryptomonnaie, et certaines mises à jour censées résoudre les problèmes facilitent involontairement le vol. Le standard de jeton omniprésent du réseau Ethereum a représenté 89,5% des 71,5 millions de dollars de crypto perdus à cause des escroqueries par hameçonnage en mars, selon Scam Sniffer.
Ces jetons ont été dérobés à la suite de victimes trompées par hameçonnage et ayant approuvé des fonctions telles que “permit” et “increaseAllowance”. Ces fonctions, destinées à améliorer l’efficacité du standard de jeton, ont introduit de nouvelles vulnérabilités.
Introduits pour la première fois en 2015, les jetons ERC-20 sont truffés de failles de sécurité béantes, avec peu de chances de correction dans un avenir proche.
“Le problème est dû à des décisions historiquement mauvaises dans les conceptions ERC-20 et Ethereum”, déclare Mikko Ohtamaa, co-fondateur du protocole d’investissement algorithmique Trading Strategy.
Il affirme que les problèmes liés à la conception des jetons sont principalement spécifiques à Ethereum et, dans une moindre mesure, à Solana.
“Le problème a été résolu sur d’autres chaînes comme MultiversX, Radix, celles basées sur Cosmos, etc.”, ajoute Ohtamaa.
Mais la nature immuable des contrats intelligents complique les efforts pour rectifier les défauts des ERC-20.
Attaques par hameçonnage : Permit2 d’Uniswap
Permit2 d’Uniswap — un contrat intelligent lancé en 2022 — vise à améliorer les transactions en permettant aux utilisateurs d’accorder des approbations de jetons par lots aux DApps. Cela élimine le besoin d’approbations séparées pour chaque transaction, économisant ainsi des frais de gaz dans le processus.
Permit2 est similaire à son prédécesseur, “permit” de la Proposition d’Amélioration Ethereum-2612, qui a introduit des approbations de jetons hors chaîne. Comme celles-ci ne sont pas sur la chaîne, la signature de ces messages n’entraîne pas de frais de gaz.
EIP-2612 est une extension ERC-20, ce qui signifie qu’il s’agit d’une fonctionnalité optionnelle. Mais la plupart des jetons ERC-20 circulant sur le marché n’ont pas cet add-on, ce qui signifie que les utilisateurs ne peuvent pas toujours profiter des avantages lorsqu’ils interagissent avec les DApps.
Et c’est là qu’intervient Permit2 d’Uniswap. Ce contrat intermédiaire étend EIP-2612 à tout le spectre des jetons ERC-20 sur sa plateforme.
Mais ce qui semblait être une mise à jour précieuse pour les participants DeFi dans l’une des plus grandes bourses décentralisées du monde a incité un chercheur à tirer la sonnette d’alarme.
Environ une semaine après la sortie du nouveau contrat d’Uniswap en novembre 2022, le chercheur en sécurité Roman Rakhlin a publié un article sur Medium pour démontrer comment les acteurs illicites peuvent obtenir des signatures de permis via des stratagèmes d’hameçonnage, volant finalement des jetons aux victimes sans méfiance.
ERC-20 et escroqueries liées aux cryptomonnaies
Cela ne veut pas dire que les jetons ERC-20 n’étaient pas une avancée majeure lorsqu’ils ont été introduits il y a plus de huit ans. Ils ont fourni un cadre générique qui a permis la création de nouveaux jetons fongibles sur Ethereum et leur fonctionnement harmonieux au sein de règles prédéfinies.
Les fonctionnalités principales du standard, comme le mécanisme “approve”, permettent aux détenteurs de jetons de gérer leurs actifs dans les écosystèmes décentralisés et d’accorder des permissions pour que leurs actifs soient déplacés en leur nom, catalysant ainsi l’émergence du DeFi.
Mais il existe une différence entre la monnaie native d’Ethereum, Ether, et les jetons ERC-20, notamment dans leur interaction avec les contrats intelligents.
Pour envoyer de l’Ether à un contrat intelligent, c’est simple. Un utilisateur envoie simplement Ether comme il le ferait en l’envoyant au portefeuille d’une autre personne.
Mais les jetons ERC-20 nécessitent des approbations lorsqu’ils interagissent avec d’autres contrats intelligents. Les acteurs malveillants peuvent cibler cette procédure de confirmation pour tromper les utilisateurs en leur faisant signer de faux messages.
Jetons ERC-20 : La malédiction immuable
IncreaseAllowance a été retiré du contrat ERC-20 l’an dernier et déplacé vers une extension après que le chercheur indépendant pcaversaccio a soulevé des préoccupations concernant les possibilités d’escroquerie activées par la fonction.
“Comme les contrats sont immuables, vous ne pouvez pas les changer”, dit pcaversaccio.
Pour les jetons existants déjà en circulation — et il y en a un nombre incalculable — les modifications ne sont pas réalisables en raison de la nature immuable de la blockchain.
Les attaques par hameçonnage attrapent même les OGs crypto
Toutefois, toute personne effectuant régulièrement des transactions dans l’écosystème Ethereum commence à être victime des escroqueries omniprésentes.
Même les natifs crypto, tels que Necksus, mineur crypto et collaborateur avec la plateforme forensique Intelligence On Chain, ont été victimes de tactiques sophistiquées d’ingénierie sociale.
