S hybností přenesenou z relativně hladkých upgradů hard forku Shapella (Shanghai+Capella) a Dencun (Deneb+Cancun), další hard fork Etherea měl být hračkou. Nicméně několik analytiků mává červenými vlajkami nad jednou z jeho změn kódu, EIP-3074.
Prostřednictvím EIP-3074 zavede Pectra kódy, které uživatelům umožní delegovat veškerá svá aktiva Ethereum na takzvané Invokers – externě vlastněné účty (EOA), kterým musí uživatelé důvěřovat, aby jim neukradli peníze.
V návaznosti na konvenci pojmenování 'star + city portmanteau' představí nadcházející hard fork Pectra (Electra+Prague) dva nové operační kódy: AUTH a AUTHCALL. Společně tyto kódy tvoří návrh na vylepšení Etherea číslo 3074 (EIP-3074).
Tyto dva kódy jsou snadno pochopitelné. AUTH deleguje moc na Invokera k provádění transakcí zatímco AUTHCALL volá toto předchozí oprávnění k provádění následných transakcí pomocí tohoto oprávnění.
Neuvěřitelně – a poprvé v historii Etherea – tyto dva kódy umožňují entitě třetí strany posílat nebo provádět transakce s aktivy Ethereum, včetně NFT a tokenů ERC-20, jako je USDC, navždy uvnitř vaší peněženky. Pokud vývojáři neupraví EIP před hardforky Etherea koncem tohoto roku, delegované pravomoci zůstávají Invokerovi trvale.
Přečtěte si více: Nadace Ethereum zavrhla „kanára“
EIP-3074 dává výrobcům peněženek ještě větší výkon
Přestože další podrobnosti o kódech AUTH a AUTHCALL jsou poměrně technické, poslední věcí obecného významu pro většinu účastníků kryptoměn je svěření bezprecedentních pravomocí EIP-3074 tvůrcům peněženek.
Protože si vývojáři Ethereum uvědomují rozsáhlou a trvalou sílu instrukcí AUTH pro virtuální stroj Ethereum (EVM), rozhodli se omezit EOA, na které mohou uživatelé delegovat svá aktiva. Konkrétně navrhli omezit EOA na whitelist udržovaný předem schválenými poskytovateli peněženek, jako je MetaMask.
Řešení tohoto problému s blockchainem? Důvěryhodné třetí strany.
EIP-3074: Věř nám, brácho.
Generální ředitel ChainArgos Jonathan Reiter vysvětlil nově nalezené pravomoci Invokers v EIP-3074 ještě explicitněji slovy: „Deleguji pravomoc nad svým účtem na Invokera – něco, co nyní může volat kód přes moje aktiva – a ta věc má nyní schopnost dělat věci s mým majetkem. A neexistuje způsob, jak toto pověření odvolat... Problém je v tom, že jej nelze odvolat, pokud deleguji na smlouvu – i když si myslím, že je dnes smlouva v pořádku – pokud je upgradovatelná, mohou v budoucnu ukrást mé žetony."
Bezpečnostní výzkumníci a auditoři vyjádřili podobné obavy. Ve skutečnosti nestačí, aby uživatel jednoduše zajistil, že deleguje pouze aktuálně důvěryhodné EOA. Pokud jsou tyto EOA upgradovatelné inteligentní smlouvy, vlastník soukromých klíčů těchto EOA by mohl v budoucnu vyměnit poctivý kód za škodlivý kód.
Horší je, že i když je EOA neměnná, pokud tato EOA interaguje s dalšími inteligentními smlouvami a tyto inteligentní smlouvy třetích stran jsou upgradovatelné, EIP-3074 by v budoucnu mohl vystavit majetek uživatelů krádeži prostřednictvím škodlivých upgradů kódu třetích stran.
Přečtěte si více: Hack Blast L2 vyvolává debatu o centralizaci souhrnů Etherea
Proč dále posilujeme ty nejmocnější?
Vzhledem ke všem těmto rizikům, jaký je vlastně smysl EIP-3074? Většinou, podle názoru spoluautora Matta Garnetta, kód ušetří uživatelům čas a peníze – za předpokladu, že Invokers zůstanou upřímní. Zvažte první zkušenost s používáním Uniswap. Nejprve se musí ručně podepsat, aby povolili Uniswap. Poté musí zaplatit za aktivaci ETH na Uniswapu, než se zaregistrují a zaplatí plyn za aktivaci USDC. Poté podepíší a zaplatí plyn, aby vyměnili ETH za USDC, a pokud se jedná o více aktiv, každý musí být také aktivován samostatným podpisem a poplatkem za plyn.
V post-Pectra hard fork světě by se mnohé z těchto podpisů a plateb za plyn mohly konsolidovat. Pro uživatele by pouze jednou podepsali AUTH Invoker s oprávněním trvale obchodovat jejich ETH nebo USDC jejich jménem — bez následných podpisů.
Stručně řečeno, EIP-3074 dodává více důvěry a moci s centralizovanými a již tak docela silnými společnostmi, jako je MetaMask od Consensys. Pokud vývojáři tuto změnu softwaru nepřehodnotí, upgraduje uživatele, aby svěřili trvalou autoritu Invokerům třetích stran. Tyto entity mohou nyní ovládat peněženky uživatelů a mohou prostřednictvím svých vlastních nebo třetích stran inteligentních upgradů smlouvy v budoucnu změnit pravidla hry tak, aby jednoduše ukradly peníze uživatelů.
Máte tip? Pošlete nám e-mail nebo ProtonMail. Pro více informovaných novinek nás sledujte na X, instagram, Modrá obloha, a zprávy Googlenebo se přihlaste k odběru našich Youtube kanálu.
Zdroj: https://protos.com/ethereums-eip-3074-upgrade-could-let-wallet-makers-steal-your-money/