L’APS d’Alephium : Élimination des risques liés à l’approbation des tokens EVM
Cet article explorera le système de permission des actifs (APS) d’Alephium et discutera de ses améliorations en matière de sécurité par rapport au mécanisme d’approbation/d’autorisation des tokens Ethereum Virtual Machine (EVM). L’APS est une solution flexible et sécurisée pour gérer les actifs sur la blockchain Alephium, fournissant aux développeurs les outils dont ils ont besoin pour construire des applications décentralisées robustes et sûres.
TL;DR
- Les approbations de tokens EVM, en particulier les approbations illimitées, peuvent faire perdre aux utilisateurs le contrôle de leurs actifs et exposer leurs wallets à des pirates informatiques.
- L’APS d’Alephium élimine le risque d’approbation des tokens EVM en permettant aux utilisateurs et aux contrats d’approuver les tokens à la demande et dans la même transaction.
L’approbation de token EVM expliquée
Les actifs Ethereum sont gérés par des contrats. Ainsi, par exemple, si Uniswap veut échanger le token A contre le token B, le détenteur du token A doit d’abord approuver ses dépenses dans le contrat du token A pour Uniswap, puis Uniswap aura l’autorisation de procéder à l’échange.
Le mécanisme utilisé à cette fin est généralement appelé “Approbations”, qui permet aux détenteurs de tokens d’autoriser un autre compte ou un contrat intelligent à dépenser un montant spécifié de tokens en leur nom.
Bien que les approbations jouent un rôle crucial dans de nombreuses applications décentralisées sur l’EVM, elles présentent des risques critiques pour les utilisateurs :
- Il y a de la place pour des choix peu sûrs : Cette méthode laisse à la discrétion de l’utilisateur le montant qu’il autorise le contrat intelligent à dépenser. L’utilisateur peut autoriser des dépenses infinies, ce qui laisse une porte ouverte à l’épuisement de ses actifs si un exploit compromet ce contrat intelligent.
- L’expérience de l’utilisateur n’est pas satisfaisante : L’utilisateur doit d’abord envoyer une transaction pour approuver un montant. Ensuite, il doit exécuter le transfert qu’il souhaite. Si l’utilisateur n’autorise que le montant dépensé dans cette transaction particulière, la prochaine fois qu’il interagira avec ce contrat intelligent, toutes les étapes seront à nouveau nécessaires.
Comprendre le système d’autorisation des actifs d’Alephium
L’APS d’Alephium est conçu pour offrir aux développeurs un moyen flexible et plus sûr de créer des applications sur la blockchain Alephium. Une caractéristique importante de la blockchain Alephium est qu’elle ne nécessite pas d’approbation distincte pour les actifs. Au lieu de cela, les actifs sont gérés par des UTXO, qui peuvent être dépensés à l’aide d’une transaction. Ces transactions peuvent prendre en charge TxScript.
Un TxScript (abréviation de transaction script) est un morceau de code permettant d’interagir avec les contrats intelligents. Dans ce code, il est possible d’utiliser l’APS pour gérer la façon dont les actifs seront dépensés. L’APS peut :
- Marquer les fonctions avec des annotations pour indiquer explicitement si elles nécessitent des actifs pré-approuvés ou des actifs contractuels (et vérifier si l’annotation est cohérente avec le code) ;
- Veiller à l’approbation explicite des actifs pour les fonctions nécessitant des actifs, et veiller à ce que, au maximum, seul le montant explicitement spécifié des actifs (ALPH et tokens) puisse être dépensé.
Par exemple :
Dans cet exemple, les accolades définissent explicitement l’approbation de l’actif, conformément à la notation de l’image ci-dessous.
En utilisant l’APS, en combinaison avec le modèle UTXO, toutes les approbations peuvent être définies à l’avance. En une seule transaction, l’approbation et le transfert des actifs sont effectués conformément aux conditions TxScript, ce qui permet à l’utilisateur de bénéficier d’une expérience transparente et plus sûre.
En quoi l’APS diffère-t-il du mécanisme d’approbation de token EVM ?
L’APS construit sur Alephium fournit plusieurs outils pour améliorer la sécurité des transactions, générant de multiples avantages pour les développeurs et les utilisateurs. Lorsque l’on compare l’APS au mécanisme d’approbation d’actifs EVM :
- Flux d’actifs : Dans Ethereum, les actifs sont gérés par des contrats, et les approbations doivent être demandées au préalable séparément, ce qui rompt le flux de transfert. Dans Alephium, les fonds peuvent être envoyés (approbation et transfert) en utilisant une seule transaction. Il contient un TxScript utilisant les fonctions APS, qui gère le flux de fonds avec les contrats intelligents.
- Approbation des actifs : L’approbation des tokens d’Ethereum ne permet d’approuver qu’un actif spécifique. Cela équivaut à de multiples approbations lorsque l’on utilise plus d’un actif dans une transaction. En revanche, l’APS d’Alephium permet de gérer des actifs provenant de sources multiples.
- Fonctions intégrées : L’APS d’Alephium fournit des fonctions intégrées pour engager des actifs et les utiliser immédiatement, alors qu’Ethereum nécessite une approbation explicite et des appels de transfert.
- Expérience de l’utilisateur : L’APS contrôle toute la gestion des fonds à la demande, de sorte que l’interaction manuelle de l’utilisateur avec les dApps est limitée à la transaction qu’il souhaite effectuer.
Quelle différence l’APS fait-il ?
La suppression de la transaction d’approbation des tokens dans le flux de gestion des actifs est une amélioration importante apportée par le système de permission des actifs d’Alephium, car, malheureusement, plusieurs exploits et piratages utilisent ce type de transaction.
Par exemple, les signatures Blank eth_sign ont été utilisées par des pirates après avoir incité les utilisateurs à signer des transactions dans des attaques de phishing, les autorisant ainsi à vider les wallets des utilisateurs. Le piratage de Transit Swap est un autre exemple où tous les actifs approuvés pour être échangés sur Transit Swap pouvaient être transférés directement des wallets des utilisateurs à l’adresse de l’exploiteur inconnu.
Ce type d’attaque démontre comment l’APS d’Alephium fournit un environnement plus sûr pour les développeurs et les utilisateurs, réduisant le vecteur d’attaque en supprimant la transaction d’approbation, le risque de perte de fonds en raison de vulnérabilités des contrats intelligents, et améliorant l’expérience de l’utilisateur.
Conclusion
L’Asset Permission System (APS) d’Alephium offre une solution plus sûre et plus flexible pour éliminer les risques liés à l’approbation des tokens d’Ethereum. En contrôlant le flux d’actifs, l’APS offre une sécurité accrue et un meilleur contrôle des transactions.
À mesure que la technologie blockchain évolue, des innovations comme l’APS ouvrent la voie à des applications décentralisées plus sûres et plus robustes. Les développeurs et les utilisateurs bénéficieront de cette approche améliorée de la gestion et de la sécurisation des actifs numériques sur Alephium.
Si vous souhaitez en savoir plus sur l’APS ou si vous avez des questions supplémentaires, vous pouvez nous contacter sur Discord ou sur le canal Telegram d’Alephium. N’oubliez pas non plus de suivre @alephium et @Alephiumfr sur Twitter pour rester informé.