ارتقای EIP-3074 اتریوم می تواند به سازندگان کیف پول اجازه دهد پول شما را بدزدند

به گزارش زوم ارز، با تسریعی که از آپگرید نسبتاً صاف Shapella (شانگهای + کاپلا) و Dencun (Deneb + کانکون) به ارث برده شد، پیش‌بینی می‌شد که هارد فورک بعدی اتریوم با لرزه‌ای همراه خواهد بود. با این حال، تحلیل‌های متعددی درباره یکی از تغییرات کد، یعنی EIP-3074، تبلیغ قطعی قرمز را به لرزه می‌اندازند.

من از طریق EIP-3074 به معرفی پکترا کدهایی پرداخته‌ام، که این امکان را به کاربران می‌دهد تا تمام دارایی‌های اتریوم خود را به Invokers – حساب‌های تحت مالکیت خارجی (EOA) که کاربران اعلام می‌کنند، واگذار کنند. این تغییرات اجازه می‌دهد تا به افراد اعتماد کرده و پول خود را به آن‌ها سپرده و از احتمال دزدیده شدن آن‌ها جلوگیری کنند.

پس از قرارداد نامگذاری “ستاره + شهر portmanteau”، هارد فورک پیشرو بعدی پکترا (Electra+Prague) قصد دارد دو کد عملیاتی جدید را معرفی کند: AUTH و AUTHCALL. این دو کد با هم، به عنوان شماره پیشنهادی بهبود اتریوم ۳۰۷۴ (EIP-3074) شناخته می‌شوند.

تفهیم این دو کد امری آسان است. AUTH به Invoker قدرت اجرای تراکنش‌ها را می‌دهد در حالی AUTHCALL مجوز قبلی را برای انجام تراکنش‌های بعدی با آن مجوز فراخوانی می‌کند.

به طرز شگفت‌انگیزی، و برای اولین بار در تاریخ اتریوم، این دو کد این اجازه را به یک نهاد شخص ثالث می‌دهند که بتواند همواره دارایی‌های اتریوم، از جمله NFT و توکن‌های ERC-20 مانند USDC را به کیف پول شما ارسال و معامله کند. مگر اینکه توسعه‌دهندگان EIP قبل از هارد فورک اتریوم در پایان امسال تغییر دهند، اختیارات تفویض شده به صورت دائمی در اختیار Invoker باقی خواهد ماند.

EIP-3074 به سازندگان کیف پول قدرت بیشتری می دهد

اگرچه اطلاعات دقیق در مورد کدهای AUTH و AUTHCALL به طور کامل فنی هستند، اما برای بیشتر شرکت‌کنندگان در بازار رمزارز، اهمیت آخرین تغییرات و توانایی‌های بی‌سابقه ای که توسط EIP-3074 به سازندگان کیف‌پول ارائه شده است، از اهمیت بالایی برخوردار است.

از آنجا که توسعه دهندگان اتریوم متوجه شدند که دستورالعمل های AUTH برای ماشین مجازی اتریوم (EVM) به قدرت گسترده و دائمی دست یافته اند، تصمیم گرفته اند که EOA هایی که کاربران می توانند دارایی های خود را به آنها واگذار کنند را محدود کنند. به طور خاص، آنها پیشنهاد داده اند که EOA ها را به لیست سفیدی که توسط ارائه دهندگان کیف پول معتبر مانند MetaMask تأیید می شوند، محدود کنند.

EIP-3074: به ما اعتماد کن، برادر.

جاناتان رایتر، مدیر عامل شرکت ChainArgos، مفاهیم جدید اینوکرها در استاندارد EIP-3074 را به طور واضح توضیح داد و اظهار کرد: “من اختیارات حساب خود را به یک اینوکر منتقل می کنم – یعنی اینکه کسی که در حال حاضر قادر به فراخوانی کد های مربوط به دارایی های من است – و در حال حاضر توانایی انجام تعاملات با این دارایی ها را دارد. اما مسئله اینجاست که امکان لغو این انتقال اختیار وجود ندارد… این یک معضل است، زیرا اگر من یک قرارداد را به یک اینوکر منتقل کنم – حتی اگر فکر کنم این قرارداد امروز هیچ مشکلی ندارد – اگر قابل ارتقا باشد، آنها ممکن است در آینده توکن های من را به اختیار بگیرند.”

پژوهشگران و حسابرسان امنیتی همان نگرانی ها را مطرح کرده اند. به طور واقعی، برای کاربران این کافی نیست که به راحتی اعتماد کنند که تنها به ای‌او‌ای های قابل اعتماد فعلی اطلاعات می‌دهند. اگر این ای‌او‌ای ها دارای قراردادهای هوشمند قابل ارتقا باشند، مالک کلیدهای خصوصی این ای‌او‌ای ها ممکن است در آینده کدهای صادقانه را با کدهای مخرب جایگزین کنند.

بدتر از آن، حتی اگر EOA از نظر تغییرناپذیری، تعامل با قراردادهای هوشمند اضافی داشته باشد و این قراردادهای هوشمند احتمالاً قابل ارتقا توسط فرد ثالث باشند، EIP-3074 ممکن است منجر به مهاجمانه‌سازی دارایی‌های کاربران شود، زیرا ممکن است فرصت‌هایی برای ارتقاء کدهای مخرب و ایجاد آسیب از طریق فرد ثالث وجود داشته باشد.

چرا قدرتمندترین ها را بیشتر تقویت می کنیم؟

با توجه به همه این خطرات، نکته EIP-3074 ابتدا باید به صورت دستی این کد را امضا و گاز را برای مبادله ETH با USDC پرداخت کنند. این نکته، به نظر مت گارنت، یکی از نویسندگان، هزینه و زمان کاربران را صرفه جویی می کند – زمانی که Invokers صادق باشند. تجربه شما اولین بار با استفاده از Uniswap، باید قبل از ثبت نام و پرداخت گاز برای فعال کردن USDC و ETH در Uniswap، پول پرداخت کنند. اگر دارایی‌های بیشتری درگیر باشد، هر کدام باید با امضا و هزینه گاز جداگانه فعال شوند.

در دنیای هارد فورک پس از پکترا، امضاها و پرداخت‌های گاز بسیاری می‌توانند تجمیع شوند. کاربران فقط یک بار به AUTH یک Invoker امضا می‌کنند که به آن‌ها اجازه تجارت دائمی ETH یا USDC خود را می‌دهد، بدون نیاز به امضای بعدی.

EIP-3074، که شرکت Consensys توسط MetaMask به صورت کامل پشتیبانی می‌شود، اعتماد و قدرت بیشتری را به شرکت‌های متمرکز فراهم می‌کند. با این تغییرات، کاربران باید به Invokers شخص ثالث قدرت دائمی خود را واگذار کنند. این اقدام ممکن است منجر به کنترل کیف پول کاربران توسط نهادها شود و امکان تغییر قوانین بازی را به آنها بدهد، که ممکن است منجر به سرقت پول کاربران شود.

منبع: protos.com