La derni\u00e8re mise \u00e0 jour du r\u00e9seau Ethereum, nomm\u00e9e Pectra<\/strong>, a introduit de puissantes nouvelles fonctionnalit\u00e9s destin\u00e9es \u00e0 am\u00e9liorer la scalabilit\u00e9<\/strong> et les capacit\u00e9s des comptes intelligents<\/strong>. Toutefois, elle a \u00e9galement ouvert un nouveau vecteur d’attaque dangereux, permettant aux hackers de vider les fonds des portefeuilles des utilisateurs en se basant uniquement sur une signature offchain<\/strong>.<\/p>\n Lors de la mise \u00e0 niveau de Pectra, lanc\u00e9e le 7 mai<\/strong>, les attaquants peuvent exploiter un nouveau type de transaction pour prendre le contr\u00f4le des comptes externes (EOA)<\/strong> sans n\u00e9cessiter une signature de l’utilisateur pour une transaction onchain. Arda Usman, auditeur de contrats intelligents Solidity, a confirm\u00e9 \u00e0 Cointelegraph qu’il est d\u00e9sormais possible pour un attaquant de siphonner les fonds d’un EOA en n’utilisant qu’un message sign\u00e9 offchain<\/em>, sans que l’utilisateur ne signe une transaction onchain.<\/p>\n Au c\u0153ur de ce risque se trouve l’EIP-7702<\/strong>, un \u00e9l\u00e9ment cl\u00e9 de la mise \u00e0 jour Pectra. Cette proposition d’am\u00e9lioration d’Ethereum introduit la transaction SetCode (type 0x04)<\/strong>, permettant aux utilisateurs de d\u00e9l\u00e9guer le contr\u00f4le de leur portefeuille \u00e0 un autre contrat simplement en signant un message. Si un attaquant parvient \u00e0 obtenir cette signature \u2014 par exemple, gr\u00e2ce \u00e0 un site de phishing \u2014 il peut \u00e9craser le code du portefeuille avec un petit proxy qui redirige les appels vers son contrat malveillant. <\/p>\n \u00ab\u00a0Une fois le code \u00e9tabli,\u00a0\u00bb a expliqu\u00e9 Usman, \u00ab\u00a0l’attaquant peut utiliser ce code pour transf\u00e9rer l’ETH ou des tokens du compte, et ce, sans que l’utilisateur ne signe jamais une transaction de transfert normale.\u00a0\u00bb<\/p><\/blockquote>\n Yehor Rudytsia, chercheur onchain chez Hacken, a not\u00e9 que ce nouveau type de transaction introduit par Pectra permet d’installer un code arbitraire<\/strong> sur le compte de l’utilisateur, transformant ainsi son portefeuille en un contrat intelligent programmable. <\/p>\n \u00ab\u00a0Ce type de transaction permet \u00e0 l’utilisateur de sp\u00e9cifier un code arbitraire (contrat intelligent) pour ex\u00e9cuter des op\u00e9rations en son nom,\u00a0\u00bb a pr\u00e9cis\u00e9 Rudytsia.<\/p><\/blockquote>\n La menace est r\u00e9elle et imm\u00e9diate. <\/p>\n \u00ab\u00a0Pectra est devenu actif le 7 mai 2025. \u00c0 partir de ce moment, toute signature de d\u00e9l\u00e9gation valide devient ex\u00e9cutoire,\u00a0\u00bb a averti Usman.<\/p><\/blockquote>\n Les contrats intelligents fond\u00e9s sur des hypoth\u00e8ses d\u00e9pass\u00e9es, comme l’utilisation de tx.origin<\/strong> ou des v\u00e9rifications basiques bas\u00e9es uniquement sur les EOA, sont particuli\u00e8rement vuln\u00e9rables.<\/p>\n Les portefeuilles mat\u00e9riels ne sont plus intrins\u00e8quement plus s\u00fbrs. Selon Rudytsia, ils sont d\u00e9sormais expos\u00e9s aux m\u00eames risques que les portefeuilles chauds concernant les signatures de messages malveillants. <\/p>\n \u00ab\u00a0Si cela se produit, tous les fonds peuvent \u00eatre perdus en un instant,\u00a0\u00bb a-t-il averti.<\/p><\/blockquote>\n Les utilisateurs doivent \u00eatre vigilants et ne pas signer des messages qu’ils ne comprennent pas, en particulier ceux qui utilisent le format de signature de d\u00e9l\u00e9gation introduit par l’EIP-7702.<\/p>\n Avec l’EIP-7702, Pectra a \u00e9galement introduit l’EIP-7251<\/strong>, qui a augment\u00e9 la limite de staking des validateurs d’Ethereum de 32 \u00e0 2048 ETH, ainsi que l’EIP-7691<\/strong>, qui a augment\u00e9 le nombre de blobs de donn\u00e9es par bloc pour am\u00e9liorer la scalabilit\u00e9 de la couche 2.<\/p>\n","protected":false},"excerpt":{"rendered":" Mise \u00e0 jour d’Ethereum : Pectra La derni\u00e8re mise \u00e0 jour du r\u00e9seau Ethereum, nomm\u00e9e Pectra, a introduit de puissantes nouvelles fonctionnalit\u00e9s destin\u00e9es \u00e0 am\u00e9liorer la scalabilit\u00e9 et les capacit\u00e9s des comptes intelligents. Toutefois, elle a \u00e9galement ouvert un nouveau vecteur d’attaque dangereux, permettant aux hackers de vider les fonds des portefeuilles des utilisateurs en se basant uniquement sur une signature offchain. Risques li\u00e9s \u00e0 la mise \u00e0 niveau Lors de la mise \u00e0 niveau de Pectra, lanc\u00e9e le 7 mai, les attaquants peuvent exploiter un nouveau type de transaction pour prendre le contr\u00f4le des comptes externes (EOA) sans n\u00e9cessiter<\/p>\n","protected":false},"author":3,"featured_media":4292,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,64],"tags":[1916,13,65,1927,319,3741],"class_list":["post-4293","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ethereum","category-hack","tag-eip-7702","tag-ethereum","tag-hack","tag-hacken","tag-pectra","tag-yehor-rudytsia"],"yoast_description":"La mise \u00e0 niveau Pectra sur Ethereum ouvre la voie aux attaquants pour vider les portefeuilles en utilisant uniquement des signatures offchain, soulevant des pr\u00e9occupations importantes en mati\u00e8re de s\u00e9curit\u00e9 pour les utilisateurs.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/4293","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=4293"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/4293\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/4292"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=4293"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=4293"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=4293"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Risques li\u00e9s \u00e0 la mise \u00e0 niveau<\/h2>\n
Cons\u00e9quences et recommandations<\/h2>\n
Autres am\u00e9liorations d’Ethereum<\/h2>\n