Com o impulso herdado das atualizações relativamente suaves do hard fork Shapella (Shanghai + Capella) e Dencun (Deneb + Cancun), o próximo hard fork do Ethereum deveria ser uma brisa. No entanto, vários analistas estão acenando bandeiras vermelhas sobre uma de suas mudanças de código, EIP-3074.
Através do EIP-3074, a Pectra introduzirá códigos que permitem aos usuários delegar todos os seus ativos Ethereum aos chamados Invokers – contas de propriedade externa (EOA) nas quais os usuários devem confiar para não roubar seu dinheiro.
Seguindo a convenção de nomenclatura ‘star + city portmanteau’, o próximo hard fork Pectra (Electra+Prague) introduzirá dois novos códigos de operação: AUTH e AUTHCALL. Juntos, esses códigos constituem a Proposta de Melhoria Ethereum número 3074 (EIP-3074).
Os dois códigos são fáceis de entender. AUTH delega poder a um Invoker para conduzir transações enquanto AUTHCALL chama essa autorização prévia para realizar transações subsequentes usando essa autorização.
Incrivelmente – e pela primeira vez na história do Ethereum – esses dois códigos permitem que uma entidade terceirizada envie ou transacione ativos Ethereum, incluindo NFTs e tokens ERC-20 como USDC, dentro de sua carteira para sempre. A menos que os desenvolvedores modifiquem o EIP antes dos hard forks do Ethereum no final deste ano, os poderes delegados permanecerão com o Invoker permanentemente.
Leia mais: Fundação Ethereum dispensa ‘canário de mandado’
EIP-3074 dá aos fabricantes de carteiras ainda mais poder
Embora mais detalhes dos códigos AUTH e AUTHCALL sejam bastante técnicos, um item final de importância geral para a maioria dos participantes da criptografia é a concessão de poderes sem precedentes pelo EIP-3074 aos fabricantes de carteiras.
Como os desenvolvedores do Ethereum perceberam o poder expansivo e permanente das instruções AUTH para a Máquina Virtual Ethereum (EVM), eles decidiram limitar os EOAs aos quais os usuários podem delegar seus ativos. Especificamente, eles propuseram limitar os EOAs a uma lista de permissões mantida por provedores de carteiras pré-aprovados como o MetaMask.
A solução para este problema de blockchain? Terceiros confiáveis.
EIP-3074: Confie em nós, mano.
O CEO da ChainArgos, Jonathan Reiter, explicou os novos poderes dos Invokers no EIP-3074 ainda mais explicitamente, dizendo: “Eu delego autoridade sobre minha conta a um Invoker - algo que agora pode chamar código sobre meus ativos - e essa coisa agora tem a capacidade de fazer coisas com meus ativos. E não há como revogar essa delegação... O problema aqui é que, porque você não pode revogá-la, se eu delegar a um contrato - mesmo que eu ache que esse contrato está correto hoje - se for atualizável, eles podem roubar meus tokens no futuro."
Pesquisadores e auditores de segurança levantaram preocupações semelhantes. Na verdade, não é suficiente que o utilizador simplesmente garanta que delega apenas em EOAs atualmente confiáveis. Se esses EOAs forem contratos inteligentes atualizáveis, o proprietário das chaves privadas desses EOAs poderá trocar código honesto por código malicioso no futuro.
Pior ainda, mesmo que um EOA seja imutável, se esse EOA interagir com contratos inteligentes adicionais e esses contratos inteligentes de terceiros puderem ser atualizados, o EIP-3074 poderá expor os ativos dos usuários ao roubo por meio de atualizações maliciosas de códigos de terceiros no futuro.
Leia mais: O hack Blast L2 provoca debate sobre a centralização dos rollups Ethereum
Por que estamos capacitando ainda mais os mais poderosos?
Dados todos esses riscos, qual é exatamente o objetivo do EIP-3074 em primeiro lugar? Principalmente, na opinião do coautor Matt Garnett, o código economizará tempo e dinheiro dos usuários – desde que os Invokers permaneçam honestos. Considere a experiência de um iniciante usando o Uniswap. Primeiro, eles devem assinar manualmente para autorizar o Uniswap. Então eles precisam pagar para ativar o ETH no Uniswap antes de se inscrever e pagar o gás para ativar o USDC. Em seguida, eles assinam e pagam gás para trocar ETH por USDC e se mais ativos estiverem envolvidos, cada um também deve ser ativado com assinatura e taxa de gás separadas.
No mundo pós-hard fork da Pectra, muitas dessas assinaturas e pagamentos de gás poderiam ser consolidados. Para o usuário, ele assinaria apenas uma vez para AUTH e Invoker com permissão para negociar perpetuamente seu ETH ou USDC em seu nome — sem assinaturas subsequentes.
Em resumo, o EIP-3074 adiciona mais confiança e poder a corporações centralizadas e já bastante poderosas como a MetaMask da Consensys. A menos que os desenvolvedores repensem essa mudança de software, a atualização incentivará os usuários a confiar autoridade perpétua a Invokers de terceiros. Essas entidades podem agora controlar as carteiras dos usuários e podem, por meio de atualizações de contratos inteligentes próprios ou de terceiros, alterar as regras do jogo no futuro para simplesmente roubar o dinheiro dos usuários.
Tem uma dica? Envie-nos um e-mail ou ProtonMail. Para notícias mais informadas, siga-nos em X, Instagram, Bluesky e Google News, ou assine nosso YouTube canal.
Fonte: https://protos.com/ethereums-eip-3074-upgrade-could-let-wallet-makers-steal-your-money/