Un investisseur détenant une grande quantité de cryptoactifs a récemment subi une perte d'actifs alarmante. Ses 8,43 millions USDT n'ont pas été volés, mais ont disparu à cause d'une opération apparemment inoffensive. Cet investisseur pensait que ses actifs étaient absolument en sécurité, car il utilisait un portefeuille Ledger et respectait strictement tous les conseils de sécurité : la clé privée n'a jamais été mise en ligne, la phrase mnémonique n'est conservée que sous forme papier, et il ne fait jamais de captures d'écran ni ne partage.
Cependant, il s'avère même que les utilisateurs les plus prudents peuvent tomber dans des pièges soigneusement conçus. En analysant les enregistrements d'opérations sur la chaîne, la vérité a émergé : le problème réside dans une opération d'autorisation apparemment inoffensive.
Pour faciliter la consultation de ses actifs, cet investisseur a installé un portefeuille de navigateur prenant en charge la synchronisation des Cold Wallets. L'interface de ce plugin est épurée, elle peut afficher les jetons et les prix, et a été recommandée par plusieurs communautés. L'investisseur pense que le fait de "regarder" ses actifs ne présente aucun risque. Mais il ne sait pas qu'en se connectant au plugin, il a en réalité signé un contrat standard "SetApprovalForAll", transférant tous les droits de transfert de ses actifs à un contrat collectif déployé par un hacker.
Cette opération d'autorisation ressemble à la signature d'un chèque en blanc. Trois jours plus tard, lorsque le Cold Wallet a reçu un transfert de 8,43 millions USDT, le hacker a immédiatement appelé le contrat et a transféré l'intégralité du solde d'un seul coup. Pendant tout ce processus, le téléphone de l'utilisateur n'a reçu aucune notification, et l'enregistrement du portefeuille ne montre qu'un seul "événement d'appel".
Ce cas révèle un problème clé : de nombreux utilisateurs font trop confiance à la "sécurité absolue" des Cold Wallets. Cependant, les hackers n'ont pas besoin d'intrusions violentes, ils n'ont qu'à exploiter la confiance des utilisateurs en guidant progressivement les victimes vers le piège à travers des étapes apparemment sécurisées.
Actuellement, une partie des actifs volés a été gelée sur les plateformes d'échange. Cet événement nous rappelle une fois de plus que, dans le monde des cryptoactifs, même en utilisant les outils les plus sûrs, il est nécessaire de rester en alerte, surtout pour toute opération nécessitant une autorisation.
Pour les détenteurs de cryptoactifs, cette leçon est profonde : ne faites pas aveuglément confiance à des applications tierces, même si elles semblent très fiables. Lors de toute opération d'autorisation, il est essentiel de lire attentivement et de comprendre le contenu du contrat. De plus, vérifier régulièrement et révoquer les autorisations inutiles est également une étape importante pour protéger vos actifs.
Avec le développement constant de l'écosystème des cryptoactifs, l'éducation des utilisateurs et la sensibilisation à la sécurité deviennent de plus en plus importantes. Ce n'est qu'en trouvant un équilibre entre la sécurité technique et la prudence des utilisateurs que l'on peut réellement garantir la sécurité des actifs numériques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
3
Partager
Commentaire
0/400
EthMaximalist
· 07-31 12:51
Eh, n'est-ce pas une taxe sur le QI ?
Voir l'originalRépondre0
EntryPositionAnalyst
· 07-31 12:50
C'est de la cupidité, n'est-il pas possible de ne pas utiliser un plugin aussi compliqué ?
Un investisseur détenant une grande quantité de cryptoactifs a récemment subi une perte d'actifs alarmante. Ses 8,43 millions USDT n'ont pas été volés, mais ont disparu à cause d'une opération apparemment inoffensive. Cet investisseur pensait que ses actifs étaient absolument en sécurité, car il utilisait un portefeuille Ledger et respectait strictement tous les conseils de sécurité : la clé privée n'a jamais été mise en ligne, la phrase mnémonique n'est conservée que sous forme papier, et il ne fait jamais de captures d'écran ni ne partage.
Cependant, il s'avère même que les utilisateurs les plus prudents peuvent tomber dans des pièges soigneusement conçus. En analysant les enregistrements d'opérations sur la chaîne, la vérité a émergé : le problème réside dans une opération d'autorisation apparemment inoffensive.
Pour faciliter la consultation de ses actifs, cet investisseur a installé un portefeuille de navigateur prenant en charge la synchronisation des Cold Wallets. L'interface de ce plugin est épurée, elle peut afficher les jetons et les prix, et a été recommandée par plusieurs communautés. L'investisseur pense que le fait de "regarder" ses actifs ne présente aucun risque. Mais il ne sait pas qu'en se connectant au plugin, il a en réalité signé un contrat standard "SetApprovalForAll", transférant tous les droits de transfert de ses actifs à un contrat collectif déployé par un hacker.
Cette opération d'autorisation ressemble à la signature d'un chèque en blanc. Trois jours plus tard, lorsque le Cold Wallet a reçu un transfert de 8,43 millions USDT, le hacker a immédiatement appelé le contrat et a transféré l'intégralité du solde d'un seul coup. Pendant tout ce processus, le téléphone de l'utilisateur n'a reçu aucune notification, et l'enregistrement du portefeuille ne montre qu'un seul "événement d'appel".
Ce cas révèle un problème clé : de nombreux utilisateurs font trop confiance à la "sécurité absolue" des Cold Wallets. Cependant, les hackers n'ont pas besoin d'intrusions violentes, ils n'ont qu'à exploiter la confiance des utilisateurs en guidant progressivement les victimes vers le piège à travers des étapes apparemment sécurisées.
Actuellement, une partie des actifs volés a été gelée sur les plateformes d'échange. Cet événement nous rappelle une fois de plus que, dans le monde des cryptoactifs, même en utilisant les outils les plus sûrs, il est nécessaire de rester en alerte, surtout pour toute opération nécessitant une autorisation.
Pour les détenteurs de cryptoactifs, cette leçon est profonde : ne faites pas aveuglément confiance à des applications tierces, même si elles semblent très fiables. Lors de toute opération d'autorisation, il est essentiel de lire attentivement et de comprendre le contenu du contrat. De plus, vérifier régulièrement et révoquer les autorisations inutiles est également une étape importante pour protéger vos actifs.
Avec le développement constant de l'écosystème des cryptoactifs, l'éducation des utilisateurs et la sensibilisation à la sécurité deviennent de plus en plus importantes. Ce n'est qu'en trouvant un équilibre entre la sécurité technique et la prudence des utilisateurs que l'on peut réellement garantir la sécurité des actifs numériques.