Permis2

Qu'est-ce que permit2 ?

Permit2 est un système de contrat intelligent de Uniswap Labs qui standardise la manière dont les portefeuilles et les applications gèrent l'approbation des jetons pour les jetons ERC-20, y compris les approbations créées par des transactions onchain et les approbations créées par des signatures offchain.

Au lieu que chaque jeton mette en œuvre sa propre logique de « permis » (ou force les utilisateurs à approuver chaque nouvelle application), Permit2 fournit une couche d'approbation partagée avec des fonctionnalités telles que des expirations, des nonces et des autorisations par lots.

Comme de nombreux incidents de drainage de portefeuille commencent par des utilisateurs accordant sans le savoir des approbations dangereuses, Permit2 est souvent discuté dans le contexte des arnaques de portefeuilles crypto et de la manière de les éviter.

À un niveau élevé, Permit2 se situe entre votre portefeuille et l'application qui souhaite déplacer vos jetons. Vous pouvez autoriser les dépenses de deux manières principales : (1) définir une allocation onchain (similaire à une approbation ERC-20 normale, mais enregistrée dans Permit2), ou (2) signer un message typé que Permit2 peut vérifier onchain pour créer ou mettre à jour une allocation.

Contrairement aux approbations illimitées traditionnelles qui peuvent persister pendant des années, les autorisations Permit2 peuvent inclure une limite de montant et une date d'expiration, et elles utilisent des nonces pour réduire le risque de répétition. Il prend également en charge le regroupement, de sorte qu'une seule signature peut couvrir plusieurs jetons ou plusieurs autorisations.

Uniswap Permit2

Dans l'écosystème Uniswap, Permit2 est couramment utilisé pour simplifier les échanges et d'autres actions en plusieurs étapes où une application a besoin d'un accès temporaire aux tokens.

Le flux typique est le suivant : vous signez un message Permit2 qui autorise un dépensier spécifique (souvent un contrat de routeur) à dépenser jusqu'à un montant défini d'un token jusqu'à une date limite, puis le routeur exécute l'échange et retire les tokens via Permit2.

Cela réduit les approbations répétées à travers différents routeurs Uniswap et peut rendre les approbations plus cohérentes entre les tokens qui ne prennent pas en charge les permis natifs. Il est important de noter que cela change ce que vous devez rechercher dans les invites de portefeuille : vous pourriez signer une autorisation qui affecte les allocations Permit2 plutôt que la propre allocation du token.

EIP-2612 permit

EIP-2612 est la norme "permit" largement utilisée qui permet à un token ERC-20 d'accepter une signature hors chaîne pour définir son allocation (vous n'avez donc pas besoin d'une transaction d'approbation séparée). Le hic, c'est que l'EIP-2612 doit être implémenté par chaque contrat de token, et les implémentations varient (ou n'existent pas).

Permit2 complète cela en offrant une expérience de type permis universelle et indépendante du token : la signature est vérifiée par le contrat Permit2, et non par le token lui-même. Conceptuellement, l'EIP-2612 met à jour les allocations à l'intérieur du contrat de token, tandis que Permit2 met à jour les allocations à l'intérieur de Permit2.

Pour les utilisateurs, les deux peuvent sembler similaires (« signer pour approuver »), c'est pourquoi comprendre le phishing par signature etle phishing d'approbationest crucial : une signature peut toujours accorder un pouvoir de dépense significatif si vous approuvez le mauvais dépensier ou signez un message que vous ne comprenez pas.

Pourquoi Permit2 est important

Permit2 est important car il rend les approbations plus contrôlables et plus uniformes à travers le paysage ERC-20 : les applications peuvent demander des permissions limitées dans le temps et le montant, et les utilisateurs peuvent éviter de laisser des approbations larges ouvertes.

Cela aide également les développeurs à réduire les frictions en regroupant les permissions et en soutenant les tokens qui manquent d'EIP-2612, ce qui peut améliorer l'expérience utilisateur sans forcer les utilisateurs à effectuer plusieurs transactions.

Cela dit, Permit2 n'élimine pas le risque : les attaquants peuvent toujours tromper les utilisateurs pour qu'ils accordent des permissions à des dépensiers malveillants, et des invites de signature confuses peuvent permettre le phishing d'approbation ou le phishing par signature.

La leçon pratique pour les escroqueries de portefeuille crypto et comment les éviter est de traiter toute demande d'approbation ou de signature comme une décision de sécurité : vérifiez l'adresse, limitez les montants, préférez les expirations et révoquez les permissions dont vous n'avez plus besoin.