Avec la récente attaque contre OpenSea mettant en évidence les vulnérabilités de la blockchain, Charles Guillemet, le CTO de Ledger met en garde les utilisateurs contre la « signature aveugle » qu’il définit comme « consentir à ce qu’une transaction soit signée aveuglément, sans comprendre ce que cela signifie ».
Dans une interview avec Cointelegraph, Guillemet a décomposé les problèmes et mis en évidence les problèmes liés à la signature aveugle. Le Ledger CTO note que le consentement aux transactions nécessite la signature d’un message à envoyer à la blockchain. Un utilisateur est le seul capable de signer des transactions avec la clé privée, tandis que d’autres peuvent vérifier si elle est correcte. « Le problème est que ce message n’est pas intelligible par défaut. C’est une charge utile numérique », explique Guillemet.
Guillemet a également expliqué que lorsqu’un transfert de pièces est signé, il est normalement pris en charge par un portefeuille qui « analyse correctement la charge utile et affiche son intention ». Cependant, lorsqu’il s’agit de signer des interactions complexes avec des contrats intelligents, Guillemet déclare que « l’analyse de l’affichage n’est pas toujours correctement prise en charge et vous n’avez pas d’autre choix que de consentir aveuglément à une transaction que vous ne comprenez pas ».
« C’est risqué parce que vous pouvez penser que vous signez une transaction pour déplacer une partie de vos fonds vers l’adresse A alors que vous signez en fait une transaction pour déplacer tous vos fonds vers l’adresse B. »
En rapport: OpenSea désactive temporairement les fonctionnalités à la fin de la migration du contrat
L’expert en sécurité a également donné des exemples où la signature aveugle a entraîné des pertes importantes. Dans le dernier exploit OpenSea, les utilisateurs ont été confrontés à une attaque de phishing qui a entraîné la perte de 1,7 million de dollars en jetons non fongibles (NFT). Guillemet note que lors de cet incident, les attaquants ont amené leurs victimes à signer à l’aveugle un message les faisant consentir à vendre tous leurs NFT pour 0 ETH.
« L’attaquant n’avait qu’à signer une transaction disant » Je suis d’accord pour acheter ces NFT pour 0 ETH « , puis a présenté ces deux messages à OpenSea pour exécuter la transaction en échangeant 0 ETH contre tous les NFT des victimes. »
Lorsqu’on lui a demandé ce qu’il pensait être la solution au problème de la signature aveugle, Guillemet s’est tourné vers un vieil adage crypto, « ne faites pas confiance, vérifiez ». Il dit aux utilisateurs de cryptographie de « toujours vérifier la transaction que vous consentez à signer ». Une suggestion que l’expert en sécurité a évoquée est la signature de transactions à l’aide d’écrans de confiance que l’on peut trouver sur les portefeuilles matériels.