Guide de sécurité des transactions Web3 : construire un système de protection autonome pour les actifs off-chain

Avec le développement continu de l'écosystème blockchain, les transactions off-chain sont devenues une partie essentielle des opérations quotidiennes des utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, cette tendance signifie que la responsabilité de la sécurité des actifs se déplace progressivement des plateformes vers les utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un portefeuille, accéder à des applications décentralisées, ou signer des autorisations et initier des transactions, toute opération imprudente peut devenir une menace pour la sécurité, entraînant des fuites de clés privées, des abus d'autorisation ou des attaques de phishing, entre autres conséquences graves.

Bien que les plugins de portefeuille et les navigateurs grand public intègrent progressivement des fonctionnalités telles que l'identification de phishing et les alertes de risque, faire face à des méthodes d'attaque de plus en plus complexes rend difficile l'évitement complet des risques en s'appuyant uniquement sur des outils de défense passive. Afin d'aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions off-chain, nous avons, sur la base de notre expérience pratique, dressé une liste des scénarios à haut risque tout au long du processus, et combiné des recommandations de protection avec des conseils d'utilisation des outils, afin de créer un guide systématique de sécurité des transactions off-chain, visant à aider chaque utilisateur de Web3 à établir une ligne de défense sécurisée "autonome et contrôlable".

Principes fondamentaux pour des transactions sécurisées :

• Refuse de signer à l'aveugle : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
• Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.

I. Conseils pour des transactions sécurisées

La clé pour protéger les actifs numériques réside dans des transactions sécurisées. Des études montrent que l'utilisation de portefeuilles sécurisés et de l'authentification à deux facteurs peut réduire considérablement les risques. Voici des recommandations spécifiques :

• Choisir un portefeuille sécurisé : Privilégiez les fournisseurs de portefeuilles de bonne réputation, tels que les portefeuilles matériels ou les portefeuilles logiciels connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, et sont adaptés au stockage d'importants actifs.

• Vérifiez soigneusement les détails de la transaction : Avant de confirmer la transaction, assurez-vous de vérifier l'adresse de réception, le montant et le réseau, afin d'éviter les pertes dues à une erreur de saisie.

• Activer l'authentification à deux facteurs : Si la plateforme de trading ou le portefeuille prend en charge l'authentification à deux facteurs, assurez-vous de l'activer pour renforcer la sécurité de votre compte, en particulier lors de l'utilisation d'un portefeuille chaud.

• Évitez d'utiliser le Wi-Fi public : Ne faites pas de transactions sur des réseaux Wi-Fi publics, afin de prévenir les attaques de phishing et les attaques de l'homme du milieu.

Deux, comment effectuer des transactions sécurisées

Un processus complet de transaction d'application décentralisée comprend plusieurs étapes : installation du portefeuille, accès à l'application, connexion du portefeuille, signature des messages, signature des transactions, traitement post-transaction. Chaque étape présente certains risques de sécurité, et nous allons introduire successivement les points d'attention dans les opérations réelles.

1. Installation du portefeuille :

Actuellement, la principale façon d'utiliser les applications décentralisées est d'interagir via des portefeuilles de navigateur. Les portefeuilles principaux utilisés sur Ethereum et les chaînes compatibles incluent plusieurs options.

Lors de l'installation du portefeuille d'extension Chrome, il est nécessaire de s'assurer de le télécharger depuis la boutique d'applications officielle pour éviter d'installer des logiciels de portefeuille contenant des portes dérobées depuis des sites tiers. Les utilisateurs dont les conditions le permettent sont conseillés d'utiliser un portefeuille matériel en complément pour améliorer davantage la sécurité de la gestion des clés privées.

Lors de l'installation de la sauvegarde de la phrase mnémotechnique du portefeuille (généralement une phrase de récupération de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sécurisé, loin des appareils numériques, par exemple en l'écrivant sur papier et en la conservant dans un coffre-fort.

2. Accéder aux applications décentralisées

La pêche à la ligne sur le web est une méthode courante d'attaque dans le Web3. Un cas typique consiste à inciter les utilisateurs à accéder à des applications de phishing sous le prétexte d'un airdrop, puis à les amener à signer l'autorisation de jetons, les transactions de transfert ou la signature d'autorisation de jetons après qu'ils aient connecté leur portefeuille, ce qui entraîne des pertes d'actifs.

Ainsi, lors de l'accès aux applications décentralisées, les utilisateurs doivent rester très vigilants pour éviter de tomber dans les pièges de phishing en ligne.

Avant d'accéder à l'application, veuillez confirmer l'exactitude de l'URL. Suggestions :

• Évitez d'accéder directement via des moteurs de recherche : les attaquants par phishing peuvent améliorer le classement de leurs sites de phishing en achetant des espaces publicitaires.
• Soyez prudent en cliquant sur les liens dans les réseaux sociaux : les URL publiées dans les commentaires ou les messages peuvent être des liens de phishing.
• Vérifier l'exactitude de l'URL de l'application par plusieurs moyens : vous pouvez vérifier via le marché des applications décentralisées, les comptes de médias sociaux officiels du projet et d'autres canaux.
• Ajouter le site sécurisé aux favoris du navigateur : accéder directement depuis les favoris par la suite.

Après avoir ouvert la page web de l'application, il est également nécessaire de vérifier la sécurité de la barre d'adresse :

• Vérifiez si le nom de domaine et l'URL existent de manière similaire ou contrefaite.
• Assurez-vous qu'il s'agit d'un lien HTTPS, le navigateur doit afficher le symbole de verrouillage 🔒.

Les portefeuilles de plugins dominants sur le marché intègrent également certaines fonctionnalités d'alerte de risque, capables d'afficher des avertissements forts lors de l'accès à des sites web risqués.

3. Connecter le portefeuille

Après être entré dans l'application, il se peut que l'opération de connexion au portefeuille soit déclenchée automatiquement ou après avoir cliqué sur le bouton de connexion. Le portefeuille de plug-in effectuera certaines vérifications et affichera des informations concernant l'application actuelle.

Après avoir connecté le portefeuille, l'application ne sollicite généralement pas activement le portefeuille plugin lorsque l'utilisateur n'effectue pas d'autres actions. Si le site demande fréquemment une signature de message ou une signature de transaction après la connexion, et continue de faire apparaître des demandes de signature même après un refus, il est probable qu'il s'agisse d'un site de phishing, et il faut faire preuve de prudence.

4. Signature de message

Dans des cas extrêmes, tels qu'un attaquant réussissant à infiltrer le site officiel du protocole ou en effectuant des attaques de détournement de frontend, il est difficile pour un utilisateur ordinaire d'évaluer la sécurité du site dans ce type de scénario.

À ce moment-là, la signature du portefeuille plugin est la dernière ligne de défense pour que l'utilisateur protège ses actifs. Tant qu'il refuse les signatures malveillantes, il peut garantir la sécurité de ses actifs. L'utilisateur doit examiner attentivement le contenu de la signature lorsqu'il signe un message ou une transaction et refuser la signature aveugle afin d'éviter toute perte d'actifs.

Les types de signatures courants incluent :

• Signer les données de hachage
• Signer des informations en clair est le plus courant lors de la vérification de connexion de l'utilisateur ou de la confirmation d'un accord de licence.
• Signature des données structurées, couramment utilisée pour les autorisations de jetons, les ordres de NFT, etc.

5. Signature de transaction

La signature de transaction est utilisée pour autoriser les transactions sur la chaîne, telles que le transfert ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. Actuellement, de nombreux portefeuilles plug-in décodent les messages à signer et affichent le contenu pertinent. Il est important de suivre le principe de ne pas signer à l'aveugle. Conseils de sécurité :

• Vérifiez soigneusement l'adresse du destinataire, le montant et le réseau pour éviter les erreurs.
• Il est recommandé d'utiliser une méthode de signature hors ligne pour les transactions de gros montants, afin de réduire le risque d'attaques en ligne.
• Faites attention aux frais de gas, assurez-vous qu'ils sont raisonnables pour éviter d'éventuelles arnaques.

Pour les utilisateurs possédant certaines compétences techniques, il est également possible d'utiliser quelques méthodes courantes de vérification manuelle : en copiant l'adresse du contrat cible dans le navigateur de la blockchain pour effectuer un examen, les principaux éléments à vérifier incluent si le contrat est open source, s'il y a eu récemment un grand nombre de transactions et si le navigateur a ajouté une étiquette officielle ou une étiquette malveillante à cette adresse.

6. Traitement post-transaction

Même si vous avez réussi à éviter les pages de phishing et les signatures malveillantes, vous devez toujours effectuer une gestion des risques après la transaction.

Après la transaction, il faut vérifier rapidement l'état de la transaction off-chain et confirmer s'il est conforme à l'état prévu lors de la signature. En cas d'anomalie, il est nécessaire d'effectuer immédiatement des opérations de protection telles que le transfert d'actifs et la révocation d'autorisation.

La gestion des autorisations de jetons est également très importante. Dans certains cas, après avoir accordé des autorisations de jetons à certains contrats, ces contrats ont été attaqués des années plus tard, et les attaquants ont profité des limites d'autorisation de jetons des contrats attaqués pour voler les fonds des utilisateurs. Pour éviter de telles situations, il est conseillé aux utilisateurs de suivre les normes suivantes pour se prémunir contre les risques :

• Minimiser les autorisations. Lors de l'autorisation de jetons, il convient d'autoriser un nombre limité de jetons en fonction des besoins de la transaction. Par exemple, si une transaction nécessite d'autoriser 100 jetons, le nombre d'autorisations doit être limité à 100, et il ne faut pas utiliser l'autorisation illimitée par défaut.
• Révoquez rapidement les autorisations de jetons inutiles. Les utilisateurs peuvent vérifier l'état des autorisations de l'adresse correspondante à l'aide d'outils spécialisés, révoquer les autorisations des protocoles qui n'ont pas interagi pendant longtemps, afin d'éviter que des vulnérabilités subséquentes du protocole n'entraînent une perte d'actifs en raison de l'utilisation des limites d'autorisation des utilisateurs.

Trois, stratégie d'isolation des fonds

Dans le cadre d'une prise de conscience des risques et d'une prévention adéquate des risques, il est également conseillé d'effectuer une séparation efficace des fonds afin de réduire le degré de perte des fonds en cas de situations extrêmes. Les stratégies recommandées sont les suivantes :

• Utiliser un portefeuille multi-signatures ou un portefeuille froid pour stocker des actifs de grande valeur ;
• Utilisez un portefeuille de plugins ou un portefeuille ordinaire comme portefeuille chaud pour les interactions quotidiennes ;
• Changer régulièrement l'adresse du portefeuille chaud pour éviter que l'adresse ne soit continuellement exposée à un environnement à risque.

Si vous êtes malheureusement victime d'une attaque de phishing, il est conseillé de prendre immédiatement les mesures suivantes pour réduire les pertes :

• Utiliser des outils spécifiques pour annuler les autorisations à haut risque ;
• Si une signature de licence a été signée mais que l'actif n'a pas encore été transféré, une nouvelle signature peut être initiée immédiatement pour invalider l'ancienne signature ;
• Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.

Quatre, comment participer en toute sécurité aux activités d'airdrop

L'airdrop est une méthode courante de promotion des projets blockchain, mais elle comporte également des risques. Voici quelques conseils :

• Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations sur l'équipe publiquement disponibles et d'une réputation au sein de la communauté ;
• Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés pour isoler le risque du compte principal ;
• Cliquez avec prudence sur les liens : obtenez des informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales ;

Cinq, conseils pour le choix et l'utilisation des outils d'extension

Le contenu des règles de sécurité de la blockchain est varié et peut être difficile à examiner en détail à chaque interaction. Il est essentiel de choisir des plugins sûrs, qui peuvent nous aider à évaluer les risques. Voici des recommandations spécifiques :

• Utiliser des extensions de confiance : choisissez des extensions de navigateur largement reconnues et ayant un taux d'utilisation élevé. Ces plugins offrent des fonctions de portefeuille et prennent en charge l'interaction avec des applications décentralisées.
• Vérifiez les évaluations : Avant d'installer un nouveau plugin, consultez les évaluations des utilisateurs et le nombre d'installations. Une haute évaluation et un grand nombre d'installations indiquent généralement que le plugin est plus fiable, ce qui réduit le risque de code malveillant.
• Restez à jour : Mettez régulièrement à jour les plugins pour bénéficier des dernières fonctionnalités de sécurité et corrections. Les plugins obsolètes peuvent contenir des vulnérabilités connues, facilement exploitables par des attaquants.

Six, résumé

En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité à protéger leurs actifs. Bien que la technologie blockchain soit fondée sur des avantages clés tels que la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière autonome à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les applications malveillantes.

Pour réaliser une véritable sécurité off-chain, il ne suffit pas de se fier uniquement aux outils d'alerte ; il est essentiel d'établir une conscience systématique de la sécurité et des habitudes opérationnelles. En utilisant des portefeuilles matériels, en appliquant des stratégies d'isolement des fonds, en vérifiant et en mettant à jour régulièrement les autorisations et les plugins, et en intégrant dans les opérations de trading le principe de "vérification multiple, refus de la signature à l'aveugle, isolement des fonds", on peut vraiment parvenir à "s'engager off-chain de manière libre et sécurisée".