Chargement des prix…

Smart Wallet ou portefeuille EOA : ce qui change vraiment pour vous

Les smart wallets abandonnent les phrases de récupération au profit de fonctions comme la récupération sociale et le parrainage des frais de gaz, mais ils remplacent votre dépendance au matériel par une dépendance aux bundlers et aux paymasters. Voici ce qui évolue réellement.

Smart Wallet ou portefeuille EOA : ce qui change vraiment pour vous

Quel problème les smart wallets essaient-ils réellement de résoudre ?

Le discours que vous entendez chez Coinbase, Rainbow et Zerion est simple : arrêtez de noter 24 mots. Sous ce discours se cache une vraie frustration accumulée en dix ans de portefeuilles EOA.

Un EOA, ou externally owned account, n'est rien d'autre qu'une clé privée associée à une adresse. Si vous perdez la clé, les fonds sont perdus à jamais. Il n'existe aucune récupération intégrée. Partager l'accès signifie partager la phrase de récupération, ce qui est un désastre en termes de sécurité. Chaque action nécessite une signature distincte on-chain, et les frais de gaz doivent être payés dans le token natif de la blockchain.

Les smart wallets cherchent à remplacer la clé privée par un smart contract qui détient vos actifs et applique des règles programmables. Ce contrat peut vérifier des plafonds de transaction, autoriser des appareils de confiance, regrouper plusieurs actions en un seul clic, permettre à un ami ou à un guardian de vous aider à récupérer l'accès, et même payer le gaz avec un stablecoin sponsorisé par un tiers.

Rien de tout cela n'est magique. Un smart wallet possède toujours des propriétaires, aussi appelés signataires, capables de déplacer les fonds. La différence est que la politique définissant ce que ces signataires peuvent faire est inscrite dans du code qui peut être mis à jour, audité et rotaté, plutôt que dans une unique suite de mots qu'il ne faut jamais perdre.

Profil de risque : ce qui change vraiment (et ce qui ne change pas)

Pour être honnête, les smart wallets ne suppriment pas le modèle de menace des portefeuilles EOA. Ils le déplacent.

Si vous utilisez un smart wallet, voici ce qui se retrouve désormais sur votre chemin critique :

  • Le code du smart contract qui définit la logique du compte, y compris les bugs de l'EntryPoint, le contrat partagé que chaque compte ERC-4337 appelle.
  • Le bundler, un service qui regroupe vos user operations et les soumet à la blockchain.
  • Le paymaster, un service qui accepte de payer le gaz à votre place, qui voit votre transaction et peut la refuser, la précéder (front-run) ou la censurer.
  • La politique des signataires sur l'appareil, car la plupart des utilisateurs conservent encore une clé sur leur téléphone ou leur ordinateur capable d'autoriser toute opération.

Comparez avec un EOA, dont le chemin critique est plus court : votre portefeuille matériel, votre sauvegarde de seed, et la dapp avec laquelle vous signez. Aucun tiers ne relaie votre transaction. Aucun contrat partagé ne s'intercale entre vous et la blockchain.

Les smart wallets réduisent une catégorie spécifique de risque, à savoir la perte ou le vol de la phrase de récupération, et la remplacent par une autre catégorie : les bugs de smart contracts, les abus de paymaster, la censure ou les pannes de bundler, et les attaques par rejeu de signature, où la même autorisation est réutilisée parce que le portefeuille n'a pas inclus de nonce ou d'identifiant de chaîne.

Comment fonctionne réellement l'abstraction de compte ERC-4337

L'ERC-4337 est la norme qui a rendu les smart wallets utilisables sans modifier le protocole de base d'Ethereum. Vous n'avez pas besoin de faire tourner un nœud ni de modifier la chaîne. Vous envoyez un objet spécial appelé UserOperation à un mempool distinct.

Voici le flux général, simplifié :

  • Votre wallet élabore une UserOperation décrivant ce que vous voulez faire, par exemple échanger un token et staker le résultat.
  • Un bundler, qui est une sorte de relayer, récupère cette UserOperation, l'enveloppe dans une transaction Ethereum classique et la soumet on-chain.
  • Cette transaction appelle le contrat global EntryPoint, qui appelle à son tour le contrat de votre smart account pour valider les signatures et exécuter l'action.
  • Un contrat paymaster facultatif peut intervenir pour payer le gas à votre place, en échange de frais payés dans le token de son choix.

Ce que cela apporte à l'utilisateur est concret. Vous pouvez payer le gas en USDC plutôt qu'en ETH. Vous pouvez signer une seule fois et faire exécuter cinq actions de manière atomique, de sorte qu'un swap et une approbation ne puissent pas réussir à moitié. Vous pouvez accorder à une dapp une session key limitée à un contrat précis, avec un plafond de dépenses et une fenêtre de temps, puis la révoquer depuis le même écran.

Ce que cela vous coûte, c'est une dépendance à une infrastructure qui n'existait pas il y a cinq ans. Si le bundler est en panne, votre transaction reste bloquée. Si le paymaster est vidé ou censuré, le gas gratuit s'arrête. Si l'EntryPoint comporte un bug, chaque smart wallet qui en dépend est exposé, c'est pourquoi les audits des implémentations d'EntryPoint sont pris très au sérieux dans tout l'écosystème.

La nouvelle surface d'attaque : paymasters, bundlers et entrypoints

C'est la partie que la plupart des pages marketing passent sous silence. En 2024 et 2025, de véritables exploits et incidents ont touché chaque composant de la pile ERC-4337.

Griefing et drainage de paymaster

Un paymaster malveillant ou mal codé peut être utilisé pour importuner les utilisateurs en acceptant des user operations puis en les faisant échouer on-chain, ce qui coûte malgré tout à l'utilisateur le gas de vérification. Pire, un paymaster qui approuve automatiquement sans politique adéquate peut être vidé par un attaquant qui génère de fausses user operations qui se retrouvent toutes sponsorisées.

Réexécution de signature

Si un smart wallet n'inclut pas de chain id ni de nonce dans les données qu'il signe, une signature prévue pour une chaîne ou une action peut être réexécutée ailleurs. C'est la même catégorie de bug qui a frappé d'anciennes intégrations EOA, mais il se loge désormais dans le contrat du wallet et dans la pile du relayer.

Bugs dans l'EntryPoint et le contrat de compte

Comme chaque compte ERC-4337 appelle le même EntryPoint, une vulnérabilité à cet endroit peut se propager à de nombreux wallets à la fois. Les auditeurs traitent désormais l'EntryPoint comme une infrastructure critique. Il en va de même pour l'implémentation de compte spécifique, comme les modules Safe, Kernel ou LightAccount, c'est pourquoi vous verrez des programmes de bug bounty avec des enveloppes à huit chiffres.

Centralisation des bundlers

La plupart des utilisateurs s'appuient sur un petit nombre de bundlers, et le mempool des user operations est actuellement plus permissif sur le plan des autorisations que le mempool des transactions classiques. Si votre bundler est hors ligne ou censure, votre transaction n'atterrit pas. C'est un point unique de défaillance qu'un EOA n'a pas.

Rien de tout cela ne signifie que les smart wallets sont mauvais. Cela signifie que la surface à évaluer s'est élargie, et que les modes de défaillance sont passés de « j'ai perdu ma seed » à « le relayer, le paymaster et l'EntryPoint se sont tous bien comportés aujourd'hui ».

EIP-7702 et l'état intermédiaire

La distinction la plus nette, smart contract contre EOA, est déjà en train de s'estomper. L'EIP-7702, livrée dans le cadre de la mise à jour Pectra d'Ethereum en 2025, permet à un EOA classique de charger temporairement du code de smart account à son adresse pendant une transaction.

Concrètement, votre EOA existant peut batcher, sponsoriser du gas ou exécuter des session keys pour une transaction, puis redevenir un compte ordinaire juste après. Pas besoin de migrer vers un nouveau wallet, pas d'adresse nouvelle à approvisionner.

C'est pourquoi l'idée d'un « EOA pur » est essentiellement historique. Entre l'EIP-7702 et le déploiement progressif de l'ERC-4337, la plupart des utilisateurs actifs exploitent aujourd'hui une configuration hybride : leurs fonds reposent à une adresse qui est techniquement un EOA, mais ils s'appuient sur des relays, des paymasters et du code de smart contract pour fonctionner.

Que choisir en fonction de la taille des avoirs et de l'activité

Un arbre de décision clair aide plus qu'un verdict.

Si vos avoirs sont modestes et que vous effectuez souvent des transactions

Un smart wallet d'un fournisseur réputé, idéalement un wallet qui permet d'exporter ou de tourner les clés et qui publie ses audits, convient bien. Le sponsoring du gas supprime une friction réelle. Les session keys rendent l'approbation d'un jeu ou d'un DEX de perps bien plus sûre que le fait d'accorder des allowances illimitées sur des tokens. La récupération via des amis de confiance vaut mieux que de tout perdre quand votre téléphone tombe en panne.

Si vos avoirs sont importants et que vous effectuez rarement des transactions

Un EOA sur un hardware wallet reste un choix par défaut solide. La surface de menace est réduite : l'appareil, la sauvegarde de votre seed et les dapps avec lesquelles vous signez. Ajouter des dépendances à un smart wallet ne se justifie pas, sauf à utiliser activement des fonctionnalités comme le batching ou le gas sponsorisé. Attendez que les prestataires mûrissent, ou adoptez une configuration hybride où le stockage froid long terme reste dans un EOA et qu'un solde « de dépense » plus réduit vit dans un smart wallet.

Si vous êtes un power user ou un développeur

Utilisez les deux. Gardez l'EOA sur hardware pour la trésorerie et les approbations que vous souhaitez vérifier à la main. Utilisez un smart wallet (ou un compte compatible EIP-7702) pour le trading quotidien, les dapps à session keys et les expérimentations avec gas sponsorisé. Le coût d'utilisation de deux wallets est faible par rapport au risque de perdre un jeu de clés.

Vérifications universelles, quel que soit le type de wallet

  • Lisez les rapports d'audit. Pas le résumé marketing, le rapport lui-même.
  • Vérifiez l'adresse du contrat de l'implémentation du wallet, pas seulement celle de la dapp que vous utilisez.
  • Préférez les wallets qui offrent un moyen clair de tourner les signataires et les gardiens.
  • Traitez toute offre « gas gratuit » comme vous traiteriez n'importe quel tiers payant vos factures : sachez qui paie et pourquoi.

Comment suivre l'actualité des smart wallets et des wallets EOA de manière intelligente

Les standards de wallets évoluent rapidement. L'ERC-4337 a été déployé, l'EIP-7702 a été déployé, et la prochaine vague d'améliorations est déjà en phase de recherche. Suivre vous-même les audits, les incidents liés aux relayers et le support des dapps est une bataille perdue d'avance. Zippfeed met en avant les titres sur les smart wallets et les wallets EOA avec un score de sentiment, bullish, neutral ou bearish, ainsi qu'une note d'importance, afin que vous puissiez repérer les actualités qui impactent réellement votre configuration avant qu'elles n'atteignent votre influenceur préféré.

Questions fréquemment posées

Un smart wallet est-il plus sûr qu’un portefeuille EOA ?
Pas automatiquement. Un smart wallet peut être plus sûr pour certains utilisateurs car il élimine le stress lié à la phrase de récupération et permet des fonctions comme la récupération sociale et les plafonds de dépense, mais il introduit de nouvelles dépendances à des smart contracts, bundlers et paymasters qui peuvent être exploités. Pour les gros avoirs, un EOA sur hardware wallet reste une valeur refuge solide.
Comment fonctionne réellement l’abstraction de compte ?
ERC-4337 permet à votre portefeuille d’envoyer une UserOperation à un bundler au lieu d’une transaction classique. Le bundler l’enveloppe dans une transaction qui appelle un contrat EntryPoint partagé, lequel appelle ensuite votre smart account. Un paymaster peut parrainer les frais de gaz dans n’importe quel token. C’est ce qui rend possibles le parrainage du gaz, les transactions regroupées et les session keys.
Dois-je passer de mon hardware wallet à un smart wallet ?
Tout dépend de votre usage de la crypto. Si vous effectuez souvent des transactions, souhaitez éliminer le risque lié à la phrase de récupération et appréciez des fonctions comme les session keys, un smart wallet réputé est un choix raisonnable. Si vous détenez surtout à long terme, votre hardware wallet fait déjà très bien le travail et vous pouvez y ajouter un petit solde sur smart wallet pour l’usage quotidien.
Qu’est-ce qu’EIP-7702 et pourquoi est-ce important ?
EIP-7702 permet à un EOA de charger temporairement le code d’un smart account pour une seule transaction, puis de revenir à un comportement d’EOA classique. Cela brouille la frontière entre les deux types de portefeuilles, si bien que la plupart des utilisateurs en 2025 utilisent déjà une configuration hybride sans le savoir. Cela signifie aussi que les portefeuilles existants peuvent adopter les transactions regroupées et le parrainage du gaz sans migration.