![[Thread] - Les applis de confiance sur #Solana et sécurité
Lors de hack sur @solana, on vous invite...](https://pbs.twimg.com/media/FeeTtyqUUAAZmM4.png)
Les applis de confiance (Trusted Apps) correspondent aux sites sur lesquels vous vous êtes déjà connectés. Lors de votre prochaine visite sur l'un de ces sites, vous ne serez pas obligés de vous connecter de nouveau. En effet, votre wallet se connectera automatiquement.
Ainsi, les applis de confiance correspondent à une fonctionnalité de connexion automatique servant à améliorer l'expérience utilisateur.
En révoquant un site des applis de confiance, vous allez juste supprimer la connexion automatique lors de votre prochaine visite ce qui ne vous protège en rien à un hack de protocole.
Cette fonctionnalité ne présente donc en soit aucun risque d'un point de vu sécurité. Sauf si vous la couplez à l'auto-approval...
Ici, même si le nom pourrait le faire penser, il n'est pas question du système d'approval que l'on retrouve sur les chaines EVM telles que Ethereum, Avalanche, BSC, etc...
Pour rappel, lorsque vous souhaitez interagir avec un nouveau smart contract sur une chaine EVM, vous devez tout d'abord l'approuver.
Cette approval consiste à donner l'autorisation à ce contrat de dépenser vos tokens à votre place n'importe quand.
Cette approval consiste à donner l'autorisation à ce contrat de dépenser vos tokens à votre place n'importe quand.
Si ce smart contract se fait hacker, vos fonds peuvent ainsi être volés puisque vous avez autorisés le smart contract à les dépenser comme il veut.
Non, ici, l'auto-approval concerne les transactions et non un programme qu'il faudrait accepter avant de pouvoir l'utiliser.
C'est ainsi une fonctionnalité qui permet de signer une transaction automatiquement, sans qu'un pop-up apparaisse et demande votre confirmation.
C'est ainsi une fonctionnalité qui permet de signer une transaction automatiquement, sans qu'un pop-up apparaisse et demande votre confirmation.
Cette fonctionnalité est risquée puisqu'elle ne vous permet pas de vérifier si la transaction que vous allez accepter correspond bien à ce que vous souhaitez.
C'est pour cette raison que la plupart des wallets l'ont supprimée et ne devrait pas être utilisée.
C'est pour cette raison que la plupart des wallets l'ont supprimée et ne devrait pas être utilisée.
Même si cela ne concerne pas les applis de confiance, profitons que l'on parle de la vérification des transactions pour faire un point sécurité sur celles-ci.
Lorsque que vous soumettez une transaction, un pop-up de votre wallet apparait vous demandant confirmation.
Dans celui-ci, un récapitulatif des modifications des balances est présenté pour que vous puissiez les vérifier.
Dans celui-ci, un récapitulatif des modifications des balances est présenté pour que vous puissiez les vérifier.
Or, ce récapitulatif n'indique pas si vous allez accepter une instruction qui donne l'accès à vos tokens à un autre utilisateur.
Pour le savoir, vous devez afficher les détails de la transaction en cliquant sur "Voir les informations..." (dans le cas de @Phantom).
Pour le savoir, vous devez afficher les détails de la transaction en cliquant sur "Voir les informations..." (dans le cas de @Phantom).
Si dans les détails de la transaction, vous trouvez une instruction "Approve", ne l'accepter pas!
Cette instruction permet de définir un délégué avec un montant autorisé. Celui-ci est comme un autre propriétaire de votre compte de tokens et peut en transférer comme il veut.
Cette instruction permet de définir un délégué avec un montant autorisé. Celui-ci est comme un autre propriétaire de votre compte de tokens et peut en transférer comme il veut.
Vous l'aurez compris, une personne malintentionnée peut utiliser cette instruction pour se nommer en tant que délégué afin de pouvoir vider votre wallet.
Il est ainsi important de toujours vérifier les instructions d'une transaction avant de l'accepter pour éviter cela.
Il est ainsi important de toujours vérifier les instructions d'une transaction avant de l'accepter pour éviter cela.
Si vous avez un doute sur les transactions que vous avez acceptées, il existe des outils pour vérifier si vous avez des délégués et les revoker au besoin.
Comme par exemple celui de @ToolsSolana :
🔗 solanatools.vercel.app
Comme par exemple celui de @ToolsSolana :
🔗 solanatools.vercel.app
Ce thread vous a permis d'être plus familier avec le concept des applis de confiance et l'importance de vérifier les instructions d'une transaction avant de l'accepter.
Vous pouvez #RT et liké le 1er tweet afin qu'un maximum de gens le soit aussi
Vous pouvez #RT et liké le 1er tweet afin qu'un maximum de gens le soit aussi
Vous pouvez également lire la version déroulée de ce thread ici : typefully.com
Loading suggestions...