Découvrez comment Trust Wallet s'attaque aux risques d'approbation de tokens avec une expérience utilisateur plus sûre et des outils pour plus de 200 millions d'utilisateurs. Par Eve Lam, CISO chez Trust Wallet.
Le risque invisible qui se cache dans votre Portefeuille
Les approbations de tokens sont l'une des menaces les plus négligées dans le Web3. Chaque fois que vous connectez votre portefeuille et autorisez une DApp à accéder à vos tokens, vous accordez souvent un accès indéfini. Au fil du temps, ces approbations s'accumulent silencieusement en arrière-plan. La plupart des utilisateurs ne savent même pas qu'elles existent, et en fait, plus de 475 millions de dollars ont été volés depuis 2020 dans des piratages et exploits d'approbation signalés selon Revoke. C'est plus qu'une lacune technique à nos yeux. C'est davantage un échec de l'expérience utilisateur et un angle mort de sécurité, et pour la prochaine vague d'utilisateurs entrant dans le Web3, c'est un risque qu'ils ne devraient pas avoir à supporter.
Être leader en matière de sécurité est une responsabilité fondamentale pour tout fournisseur de portefeuille—et avec plus de 15 millions d'utilisateurs actifs mensuels et plus de 200 millions de téléchargements, c'est une responsabilité que Trust Wallet assume pleinement. Résoudre le problème des approbations de tokens fait partie de cet engagement, assurant une protection plus forte pour tous ceux qui comptent sur nous et aidant à construire un écosystème Web3 plus sûr.
Pourquoi les approbations infinies sont devenues la norme
Lorsque vous utilisez une application décentralisée (DApp), elle ne peut pas déplacer vos tokens sans que vous donniez votre permission via une transaction d'approbation de token. Les approbations permettent à un Smart Contract de dépenser vos tokens en votre nom. La plupart des DApps demandent une approbation illimitée pour que vous n'ayez pas à approuver chaque fois. Une fois accordées, ces approbations restent actives on-chain jusqu'à ce que vous les révoquiez.
Cette commodité a un coût : les approbations de tokens sont silencieuses, permanentes et risquées par défaut. Les utilisateurs donnent aux DApps un accès illimité sans s'en rendre compte. Les portefeuilles montrent ou expliquent rarement ces permissions. Les attaquants les exploitent—souvent longtemps après que l'approbation a été accordée.
Comment le risque d'approbation s'accumule avec le temps
Les menaces du monde réel suivent souvent ces modèles. Un acteur malveillant peut vous inciter à accorder une approbation illimitée à un contrat nuisible. Vous pourriez ne voir aucun problème si votre portefeuille est vide à ce moment-là. Plus tard, lorsque vous déposez des fonds, le contrat les vide instantanément. Ou bien, un contrat autrefois fiable devient compromis, transformant une permission sûre en une dangereuse vulnérabilité.
Plus préoccupant encore est que dans la plupart des portefeuilles aujourd'hui, il n'est pas facile de visualiser ou de gérer les approbations de tokens. L'utilisateur moyen aurait du mal à découvrir quels contrats ont accès à leurs actifs, et encore moins à évaluer lesquels présentent un risque élevé.
L'opportunité : des outils natifs, construits de la bonne façon
La plupart des portefeuilles manquent d'une interface native et conviviale pour examiner et gérer les approbations de tokens. Certains s'appuient sur des outils de plateformes tierces ou enfouissent les permissions profondément dans les paramètres—si tant est qu'ils le fassent. En conséquence, les utilisateurs ignorent souvent quels contrats ont un accès continu.
Chez Trust Wallet, nous reconnaissons cette lacune—et nous travaillons à la combler. C'est pourquoi la gestion des approbations de tokens figure dans notre feuille de route pour le quatrième trimestre de cette année : conçue pour évoluer, élaborée avec soin et publiée avec une précision axée sur la sécurité. Notre vision est celle d'un tableau de bord intelligent, centré sur l'utilisateur, qui simplifie les permissions complexes de la blockchain en informations claires et exploitables.
Comment EIP-7702 aide à réduire le risque d'approbation
Réduire le nombre d'approbations qu'un utilisateur doit effectuer peut être tout aussi important que de bien les gérer. EIP-7702 est conçu pour aider à cela en permettant au portefeuille de simuler et de pré-approuver toutes les actions nécessaires en une seule session sécurisée. Vous signez une fois, et le relayeur gère à la fois l'approbation et la transaction prévue en arrière-plan.
Avec 7702 :
- Le portefeuille simule toutes les approbations et transactions requises.
- L'utilisateur signe une intention de session.
- L'approbation et l'action sont exécutées ensemble.
- Moins de fenêtres contextuelles "approuver", moins d'approbations illimitées persistantes.
En bref, 7702 simplifie l'expérience utilisateur tout en réduisant le besoin de permissions risquées et permanentes.
Repenser l'hygiène d'approbation comme une expérience utilisateur quotidienne
Garder les approbations de tokens sous contrôle devrait sembler aussi naturel que les autres vérifications de routine que les gens font pour rester en sécurité en ligne. Le processus fonctionne mieux lorsqu'il est intégré à l'utilisation normale du portefeuille, plutôt que laissé comme une tâche séparée dont l'utilisateur doit se souvenir.
Trust Wallet développe des fonctionnalités pour faciliter cette maintenance : des rappels discrets pour examiner les approbations actives, des indices visuels pour les contrats qui peuvent être risqués ou obsolètes, des options pour faire expirer automatiquement l'accès après inactivité, et un tableau de bord qui liste clairement chaque permission active en un seul endroit. Lorsque ces garanties font partie du flux régulier, les utilisateurs peuvent rester protégés sans effort supplémentaire.
Les portefeuilles comme gardiens, pas seulement des interfaces
Les approbations de tokens sont un élément d'une question plus large : comment les portefeuilles peuvent-ils faire davantage pour protéger les utilisateurs ?
Chez Trust Wallet, la sécurité est intégrée dans tout ce que nous construisons. Notre Scanner de Sécurité détecte de manière proactive les arnaques connues et les contrats malveillants, bloquant les approbations dangereuses et les connexions aux DApps avant qu'elles ne se produisent. Depuis 2023, nous avons bloqué plus de 458 millions de dollars d'atteindre des contrats malveillants et aidé à récupérer plus de 2 millions de dollars de fonds volés.
Nous avons été le premier portefeuille majeur d'auto-garde à obtenir la certification ISO/IEC 27001 et 27701, répondant aux normes internationalement reconnues en matière de sécurité et de confidentialité.
Le même principe guidera nos outils d'approbation de tokens : une protection intégrée, non ajoutée après coup.
Regarder vers l'avenir : construire pour les 200 prochains millions
Notre responsabilité va au-delà du maintien de ce que nous avons déjà construit — il s'agit de préparer la prochaine vague d'utilisateurs Web3 et les défis auxquels ils seront confrontés. Cela signifie continuer à déployer des fonctionnalités qui éliminent les frictions et renforcent la sécurité, comme de meilleurs paramètres par défaut et une automatisation plus intelligente, une connexion biométrique dans notre Extension, une simplicité cross-chain avec FlexGas pour que le gaz puisse être payé en tokens que les utilisateurs possèdent déjà, etc.
Avec tout ce que nous avons couvert, il va sans dire que l'un des développements les plus importants à l'horizon est notre gestion native des approbations de tokens. Cela donnera à chaque utilisateur une vue claire des contrats qui peuvent accéder à leurs tokens, mettra en évidence les risques potentiels, et rendra la révocation ou l'ajustement des permissions rapide et simple. Associé à nos autres avancées en matière de sécurité et d'utilisabilité, cela aidera à garantir que des millions de personnes supplémentaires pourront explorer le Web3 avec beaucoup plus de confiance.
Cette approche s'inscrit dans notre vision selon laquelle les portefeuilles ne sont pas seulement des outils, ils sont essentiellement des compagnons Web3. Ils devraient abstraire la complexité, faire ressortir les risques et permettre des opportunités sans compromettre la sécurité de l'utilisateur.
Réflexions finales
Les approbations de tokens ne devraient pas être invisibles, permanentes ou la raison pour laquelle les utilisateurs perdent des fonds. Avec des outils plus intelligents, des paramètres par défaut plus sûrs et des protections intégrées, nous pouvons faire de ce risque une chose du passé. Chez Trust Wallet, nous construisons pour les utilisateurs d'aujourd'hui et les 200 prochains millions—car avec cette échelle vient la responsabilité de diriger.
Restez à l'écoute. Une expérience de portefeuille plus sûre et plus intelligente est en route.
L'article Le danger caché dans votre portefeuille : Les approbations de tokens expliquées est apparu en premier sur BeInCrypto.
Source : https://beincrypto.com/hidden-danger-wallet-token-approvals-explained/
