Omdat het momentum werd overgenomen van de relatief soepele hard fork-upgrades Shapella (Shanghai+Capella) en Dencun (Deneb+Cancun), zou de volgende hard fork van Ethereum een fluitje van een cent zijn. Niettemin zwaaien verschillende analisten met rode vlaggen over een van de codewijzigingen, EIP-3074.
Via EIP-3074 zal Pectra codes introduceren waarmee gebruikers al hun Ethereum-activa kunnen delegeren aan zogenaamde Invokers – externe accounts (EOA) die gebruikers moeten vertrouwen om hun geld niet te stelen.
In navolging van de naamgevingsconventie van 'star + city portmanteau' zal de komende hard fork Pectra (Electra+Praag) twee nieuwe bedieningscodes introduceren: AUTH en AUTHCALL. Samen vormen deze codes Ethereum Improvement Proposal nummer 3074 (EIP-3074).
De twee codes zijn gemakkelijk te begrijpen. AUTH delegeert de bevoegdheid aan een Invoker om transacties uit te voeren terwijl AUTHCALL belt die voorafgaande toestemming om vervolgtransacties uit te voeren met behulp van die toestemming.
Ongelooflijk – en voor het eerst in de geschiedenis van Ethereum – maken deze twee codes het voor een derde partij mogelijk om Ethereum-activa, inclusief NFT's en ERC-20-tokens zoals USDC, voor altijd in uw portemonnee te verzenden of te verhandelen. Tenzij ontwikkelaars later dit jaar het EIP wijzigen vóór de Ethereum-hardforks, blijven de gedelegeerde bevoegdheden permanent bij de Invoker.
Lees meer: Ethereum Foundation laat 'warrantkanarie' achterwege
EIP-3074 geeft portefeuillemakers nog meer kracht
Hoewel verdere details van de AUTH- en AUTHCALL-codes behoorlijk technisch zijn, is een laatste item van algemeen belang voor de meeste cryptodeelnemers het toevertrouwen van ongekende bevoegdheden door EIP-3074 aan portemonneemakers.
Omdat Ethereum-ontwikkelaars zich de uitgebreide en permanente kracht van AUTH-instructies voor de Ethereum Virtual Machine (EVM) realiseren, hebben ze besloten de EOA's waaraan gebruikers hun activa kunnen delegeren te beperken. Concreet hebben ze voorgesteld om EOA's te beperken tot een witte lijst die wordt bijgehouden door vooraf goedgekeurde portemonnee-aanbieders zoals MetaMask.
De oplossing voor dit blockchain-probleem? Vertrouwde derde partijen.
EIP-3074: Vertrouw ons, broeder.
ChainArgos CEO Jonathan Reiter legde de nieuwe bevoegdheden van Invokers in EIP-3074 nog explicieter uit door te zeggen: “Ik delegeer de autoriteit over mijn account aan een Invoker – iets dat nu code over mijn activa kan aanroepen – en dat ding heeft nu de mogelijkheid om dingen met mijn bezittingen te doen. En er is geen manier om die delegatie in te trekken... Het probleem hier is dat je het niet kunt intrekken, als ik delegeer naar een contract – zelfs als ik denk dat dat contract vandaag in orde is – als het opgewaardeerd kan worden, ze kunnen mijn tokens in de toekomst stelen."
Beveiligingsonderzoekers en auditors hebben soortgelijke zorgen geuit. Het is inderdaad niet voldoende dat de gebruiker er simpelweg voor zorgt dat hij alleen delegeert aan momenteel betrouwbare EOA's. Als die EOA’s uit te breiden slimme contracten zijn, zou de eigenaar van de privésleutels van die EOA’s in de toekomst eerlijke code kunnen omruilen voor kwaadaardige code.
Erger nog, zelfs als een EOA onveranderlijk is, als die EOA interageert met extra slimme contracten en die slimme contracten van derden kunnen worden geüpgraded, zou EIP-3074 de activa van gebruikers kunnen blootstellen aan diefstal via kwaadaardige code-upgrades van derden in de toekomst.
Lees meer: Blast L2-hack leidt tot discussie over centralisatie van Ethereum-rollups
Waarom geven we de machtigsten nog meer macht?
Wat is, gezien al deze risico's, precies het nut van EIP-3074? Volgens co-auteur Matt Garnett zal de code gebruikers vooral tijd en geld besparen, ervan uitgaande dat Invokers eerlijk blijven. Overweeg de ervaring van een eerste keer met Uniswap. Eerst moeten ze handmatig ondertekenen om Uniswap te autoriseren. Vervolgens moeten ze betalen om ETH op Uniswap te activeren voordat ze zich aanmelden en gas betalen om USDC te activeren. Vervolgens ondertekenen en betalen ze gas om ETH te ruilen voor USDC en als er meer activa bij betrokken zijn, moet elk ervan ook worden geactiveerd met een afzonderlijke handtekening en gasvergoeding.
In de post-Pectra hard fork-wereld zouden veel van deze handtekeningen en gasbetalingen kunnen consolideren. Voor de gebruiker zouden ze slechts één keer ondertekenen om een Invoker te AUTHEN met toestemming daarvoor voortdurend namens hen handelen in hun ETH of USDC — zonder daaropvolgende handtekeningen.
Samenvattend voegt EIP-3074 meer vertrouwen en macht toe met gecentraliseerde en toch al behoorlijk krachtige bedrijven zoals MetaMask van Consensys. Tenzij ontwikkelaars deze softwarewijziging heroverwegen, zal de upgrade gebruikers ertoe aanzetten om eeuwige autoriteit toe te vertrouwen aan Invokers van derden. Deze entiteiten kunnen nu de portemonnee van gebruikers controleren en kunnen, door middel van hun eigen slimme contractupgrades of die van derden, in de toekomst de spelregels veranderen om eenvoudigweg het geld van gebruikers te stelen.
Heb je een tip? Stuur ons een e-mail of ProtonMail. Volg ons op voor meer geïnformeerd nieuws X, Instagram, Bluesky en Google Nieuws, of abonneer u op onze YouTube kanaal.
Bron: https://protos.com/ethereums-eip-3074-upgrade-could-let-wallet-makers-steal-your-money/