Qu'est-ce qu'une approbation de jeton dans DeFi et pourquoi peut-elle constituer un risque pour la sécurité ?

Comprendre les approbations de jetons dans DeFi

1. Dans la finance décentralisée (DeFi), une approbation de token est une transaction sur la blockchain qui permet à un contrat intelligent de dépenser un montant spécifique de vos tokens. Ce mécanisme est essentiel pour interagir avec les échanges décentralisés, les plateformes de prêt et les protocoles d’agriculture de rendement. Sans approbation, ces plateformes ne peuvent pas déplacer vos jetons même si vous initiez un échange ou un dépôt.

2. Lorsque les utilisateurs souhaitent échanger des jetons ERC-20 sur des plateformes comme Uniswap ou déposer des actifs sur Aave, ils doivent d'abord approuver le contrat intelligent du protocole pour accéder à leurs fonds. Ce processus implique la signature d'une transaction qui met à jour une variable d'allocation dans le contrat de jeton, spécifiant le montant que le dépensier peut retirer.

3. L'approbation est enregistrée en chaîne et reste active jusqu'à ce qu'elle soit manuellement révoquée ou écrasée par une autre approbation. Contrairement aux autorisations financières traditionnelles, les approbations blockchain sont irréversibles, sauf si une nouvelle transaction réduit ou réinitialise explicitement l'allocation.

4. La plupart des portefeuilles affichent l'action d'approbation pendant l'interaction, souvent étiquetée comme « Approuver l'USDC » ou similaire. Les utilisateurs peuvent négliger les implications et les traiter comme n’importe quelle autre étape de routine dans une opération DeFi en plusieurs étapes. Cependant, cette seule action peut exposer à des risques importants si elle n’est pas gérée avec soin.

Risques de sécurité potentiels liés aux approbations de jetons

1. L’un des risques majeurs est celui des allocations illimitées. De nombreuses dApp demandent l'autorisation de dépenser un montant extrêmement élevé, parfois infini, en jetons d'un utilisateur. Si le contrat intelligent est ultérieurement compromis en raison d'une vulnérabilité ou d'une mise à jour malveillante, les attaquants peuvent drainer tous les jetons approuvés des portefeuilles concernés.

2. Les projets frauduleux et les sites de phishing incitent souvent les utilisateurs à approuver des contrats malveillants. Ces fausses interfaces imitent les plateformes légitimes et invitent les utilisateurs à signer des approbations, leur accordant ainsi le contrôle de leurs actifs. Une fois approuvés, les attaquants peuvent exécuter des retraits à tout moment sans autre interaction de la part de la victime.

3. Même les protocoles légitimes peuvent présenter des risques s’ils subissent des changements de gouvernance ou sont piratés. Un contrat approuvé qui était autrefois sûr pourrait ensuite être mis à niveau pour inclure une logique nuisible. Étant donné que les approbations persistent entre les mises à niveau, l'accès précédemment accordé reste valide jusqu'à sa révocation.

4. Il n'existe aucune autorité centralisée pour annuler ces transactions. L'immuabilité de la blockchain signifie qu'une fois l'approbation confirmée, seul le détenteur du jeton peut l'annuler via une transaction de révocation. Cela confère à l'utilisateur l'entière responsabilité de surveiller et de gérer ses allocations actives.

Gérer et atténuer les risques d’approbation

1. Vérifiez toujours le montant de l'allocation lors de l'approbation d'un jeton. Choisissez des plateformes ou des outils de portefeuille qui permettent de fixer des limites personnalisées au lieu d'approuver aveuglément des montants maximaux. Limiter l’allocation à ce qui est nécessaire réduit les pertes potentielles.

2. Utilisez des explorateurs de blockchain ou des outils de sécurité dédiés comme Revoke.cash ou Blockaid pour auditer les approbations existantes. Ces services analysent votre portefeuille et répertorient tous les contrats actifs avec autorisations de dépenses, vous permettant de révoquer ceux qui ne sont pas nécessaires.

3. Nettoyez régulièrement les anciennes approbations. Au fil du temps, les utilisateurs accumulent des dizaines d’allocations actives issues d’interactions passées. La révocation des autorisations inutilisées minimise la surface d'attaque et améliore l'hygiène globale du portefeuille.

4. Envisagez d'utiliser des portefeuilles offrant des contrôles d'approbation améliorés. Certains portefeuilles modernes avertissent les utilisateurs des allocations inhabituellement élevées ou mettent en évidence les contrats malveillants connus lors du processus de signature, aidant ainsi à prévenir une exposition accidentelle.

Foire aux questions

Que se passe-t-il lorsque j'approuve un jeton ? L'approbation d'un jeton donne à un contrat intelligent l'autorisation de transférer un montant spécifié de ce jeton depuis votre portefeuille. Il ne transfère pas immédiatement les fonds mais permet les transferts futurs initiés par le contrat.

Quelqu'un peut-il voler mes jetons simplement avec une approbation ? Oui, si un contrat malveillant ou compromis a été approuvé avec une allocation élevée, il peut appeler la fonction transferFrom pour déplacer vos jetons sans consentement supplémentaire. L'approbation elle-même permet cette action.

Comment puis-je révoquer une approbation de jeton ? Vous pouvez révoquer une approbation en envoyant une transaction blockchain qui remet à zéro l'allocation du contrat. Cela peut se faire via l'interface de votre portefeuille ou des sites Web spécialisés comme Revoke.cash.

Les approbations de jetons sont-elles uniques à Ethereum ? Non, le concept existe sur d'autres blockchains compatibles EVM comme Binance Smart Chain, Polygon et Arbitrum. Tout réseau utilisant des jetons de style ERC-20 implémente des mécanismes d'approbation similaires.