Guide de sécurité pour les interactions off-chain : Stratégies complètes de protection des actifs des utilisateurs Web3

Avec l'expansion continue de l'écosystème blockchain, les transactions off-chain sont devenues une partie importante des opérations quotidiennes des utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, et cette tendance signifie également que la responsabilité de la sécurité des actifs passe progressivement des plateformes aux utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un portefeuille, accéder à des applications décentralisées, ou signer des autorisations et initier des transactions. Toute opération imprudente peut entraîner des risques de sécurité, provoquant des fuites de clés privées, des abus d'autorisation ou des attaques par phishing.

Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctionnalités telles que la détection de phishing et les alertes de risque, faire face à des méthodes d'attaque de plus en plus complexes rend la défense passive par les outils insuffisante pour éviter complètement les risques. Pour aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions off-chain, nous avons basé sur notre expérience pratique, répertorié les scénarios de risque fréquents tout au long du processus et, en combinant des recommandations de protection et des conseils d'utilisation des outils, élaboré un ensemble de lignes directrices systématiques pour la sécurité des transactions off-chain, visant à aider chaque utilisateur de Web3 à établir une ligne de défense "autonome et contrôlable".

Principes fondamentaux d'une transaction sécurisée :

• Refuser de signer aveuglément : ne signez pas les transactions ou messages que vous ne comprenez pas.
• Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.

1. Conseils pour des transactions sécurisées

La clé pour protéger les actifs numériques réside dans des transactions sécurisées. Des études montrent que l'utilisation de portefeuilles sécurisés et de la vérification en deux étapes (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :

• Choisir un portefeuille sécurisé :

Privilégiez des fournisseurs de portefeuilles de bonne réputation, tels que des portefeuilles matériels ou des portefeuilles logiciels bien connus. Les portefeuilles matériels offrent un stockage hors ligne, réduisant considérablement le risque d'attaques en ligne, ce qui les rend particulièrement adaptés au stockage d'actifs importants.

• Vérifiez attentivement les détails de la transaction :

Avant de confirmer la transaction, assurez-vous de vérifier plusieurs fois l'adresse de réception, le montant et le réseau pour éviter toute perte d'actifs due à une erreur de saisie.

• Activer la vérification en deux étapes (2FA) :

Si la plateforme de trading ou le portefeuille prend en charge la 2FA, il est fortement recommandé d'activer cette fonctionnalité pour renforcer la sécurité du compte, en particulier lors de l'utilisation d'un portefeuille chaud.

• Évitez d'utiliser le Wi-Fi public :

Ne faites pas de transactions sur des réseaux Wi-Fi publics pour éviter les attaques de phishing et les attaques de l'homme du milieu.

Deux, Guide des opérations de trading sécurisées

Un processus complet de transaction d'application décentralisée comprend plusieurs étapes : installation du portefeuille, accès à l'application, connexion du portefeuille, signature de message, signature de transaction, traitement post-transaction. Chaque étape présente certains risques de sécurité, et les points d'attention lors des opérations pratiques seront présentés ci-dessous.

1. Installation du portefeuille :

Actuellement, la principale façon d'utiliser les applications décentralisées est d'interagir via des portefeuilles de navigateur. Les portefeuilles les plus populaires utilisés sur Ethereum et les chaînes compatibles comprennent plusieurs portefeuilles de plugin bien connus.

Lors de l'installation d'un portefeuille de navigateur, il est important de s'assurer de télécharger et d'installer à partir de la boutique d'applications officielle, afin d'éviter d'installer des logiciels de portefeuille contenant des portes dérobées depuis des sites tiers. Les utilisateurs dont les conditions le permettent sont invités à utiliser en complément un portefeuille matériel pour améliorer davantage la sécurité de la gestion des clés privées.

Lors de l'installation de la phrase de récupération du portefeuille (généralement une phrase de récupération de 12 à 24 mots), il est conseillé de la stocker dans un endroit physique sécurisé, loin des appareils numériques, par exemple en l'écrivant à la main et en la conservant dans un coffre-fort.

2. Accéder aux applications décentralisées

Le phishing sur le web est une méthode courante dans les attaques Web3. Un exemple typique est d'inciter les utilisateurs à visiter des applications de phishing sous prétexte d'airdrop, puis de les amener à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après la connexion de leur portefeuille, entraînant des pertes d'actifs.

Ainsi, lors de l'accès aux applications décentralisées, les utilisateurs doivent rester vigilants afin d'éviter de tomber dans le piège du phishing.

Avant d'accéder à l'application, assurez-vous de l'exactitude de l'URL. Suggestions :

• Évitez d'accéder directement via des moteurs de recherche : les attaquants par phishing peuvent acheter des espaces publicitaires pour faire remonter leur site de phishing dans les résultats.
• Soyez prudent en cliquant sur les liens dans les réseaux sociaux : les URL publiées dans les commentaires ou les messages peuvent être des liens de phishing.
• Vérifier la justesse de l'URL de l'application par plusieurs moyens : cela peut être confirmé via des plateformes de données DeFi reconnues, les comptes de réseaux sociaux officiels du projet, etc.
• Ajoutez le site web sécurisé aux favoris de votre navigateur : accédez-y directement depuis les favoris par la suite.

Après avoir ouvert la page web de l'application, il est également nécessaire de vérifier la sécurité de la barre d'adresse :

• Vérifiez si le nom de domaine et l'URL sont concernés par des contrefaçons.
• Vérifiez s'il s'agit d'un lien HTTPS, le navigateur doit afficher le symbole de verrou 🔒.

Les principaux portefeuilles d'extension sur le marché intègrent également certaines fonctionnalités d'alerte de risque, pouvant afficher des avertissements forts lors de l'accès à des sites Web risqués.

3. Connecter le portefeuille

Une fois que vous avez accédé à l'application, il se peut qu'une opération de connexion au portefeuille soit déclenchée automatiquement ou après avoir cliqué sur le bouton de connexion. Le portefeuille de l'extension effectuera certaines vérifications et affichera des informations concernant l'application actuelle.

Après avoir connecté votre portefeuille, l'application ne sollicitera généralement pas le portefeuille de manière proactive lorsque l'utilisateur n'effectue pas d'autres actions. Si le site demande fréquemment la signature de messages, la signature de transactions après la connexion, voire continue à afficher des demandes de signature même après avoir refusé, il est probable qu'il s'agisse d'un site de phishing, et il faut faire preuve de prudence.

4. Signature de message

Dans des cas extrêmes, comme lorsque des attaquants infiltrent le site officiel du protocole ou remplacent le contenu de la page par des moyens tels que le détournement de l'interface, il est très difficile pour les utilisateurs ordinaires de déterminer la sécurité du site dans ce genre de scénario.

À ce moment-là, la signature du portefeuille de plugin est la dernière ligne de défense pour protéger les actifs de l'utilisateur. Tant que les signatures malveillantes sont refusées, la sécurité des actifs est assurée. L'utilisateur doit examiner attentivement le contenu de la signature lorsqu'il signe tout message et transaction, et refuser les signatures aveugles pour éviter toute perte d'actifs.

Les types de signatures courants incluent :

• eth_sign : signer des données hachées.
• personal_sign : signature sur des informations en clair, couramment utilisée lors de la vérification de connexion de l'utilisateur ou de la confirmation d'accord de licence.
• eth_signTypedData (EIP-712) : signature de données structurées, couramment utilisée pour les Permits ERC20, les ordres de mise en vente NFT, etc.

5 : Signature de la transaction

La signature de transaction est utilisée pour autoriser les transactions sur la blockchain, comme les transferts ou l'appel de contrats intelligents. Les utilisateurs signent avec leur clé privée, et le réseau vérifie la validité de la transaction. Actuellement, de nombreux portefeuilles plug-in décodent les messages à signer et affichent le contenu pertinent. Les utilisateurs doivent absolument suivre le principe de ne pas signer à l'aveugle. Conseils de sécurité :

• Vérifiez soigneusement l'adresse du bénéficiaire, le montant et le réseau pour éviter les erreurs.
• Il est conseillé d'utiliser la méthode de signature hors ligne pour les transactions importantes, afin de réduire le risque d'attaques en ligne.
• Faites attention aux frais de gas, assurez-vous qu'ils soient raisonnables, évitez les escroqueries potentielles.

Pour les utilisateurs ayant une certaine connaissance technique, il est également possible d'utiliser certaines méthodes d'inspection manuelles courantes : en copiant l'adresse du contrat cible d'interaction dans un explorateur de blockchain pour l'examiner, les principaux éléments à vérifier incluent si le contrat est open source, s'il y a eu récemment un grand nombre de transactions et si l'explorateur a marqué l'adresse avec une étiquette officielle ou malveillante.

6. Traitement après transaction

Éviter les pages de phishing et les signatures malveillantes ne signifie pas que vous êtes à l'abri de tout risque ; une gestion des risques doit toujours être effectuée après une transaction.

Après la transaction, il est important de vérifier rapidement l'état de la transaction sur la chaîne, afin de confirmer s'il correspond à l'état attendu lors de la signature. En cas d'anomalie, il est nécessaire de prendre immédiatement des mesures de protection telles que le transfert d'actifs et la révocation d'autorisations.

La gestion de l'approbation ERC20 est également très importante. Il y a eu des cas montrant que, après avoir autorisé des jetons sur certains contrats, ces contrats ont été attaqués des années plus tard, et les attaquants ont utilisé le montant d'autorisation de jetons du contrat attaqué pour voler des fonds aux utilisateurs. Pour éviter de telles situations, il est conseillé aux utilisateurs de suivre les normes suivantes pour prévenir les risques :

• Minimiser les autorisations. Lors de l'autorisation de jetons, le nombre de jetons autorisés doit être limité en fonction des besoins de la transaction. Par exemple, si une transaction nécessite l'autorisation de 100 USDT, le nombre d'autorisations doit être limité à 100 USDT, et non pas utiliser l'autorisation par défaut illimitée.
• Révoquez rapidement les autorisations de jetons inutiles. Les utilisateurs peuvent se connecter à l'outil de gestion des autorisations professionnel pour vérifier l'état des autorisations de l'adresse correspondante, révoquer l'autorisation des protocoles qui n'ont pas été interagis depuis longtemps, afin d'éviter que des vulnérabilités ultérieures dans le protocole n'entraînent une perte d'actifs en raison de l'utilisation de l'autorisation de l'utilisateur.

Trois, stratégie d'isolement des fonds

Sur la base d'une sensibilisation aux risques et d'une prévention adéquate des risques, il est également recommandé de mettre en œuvre une séparation efficace des fonds afin de réduire le niveau de perte des fonds en cas de situation extrême. Les stratégies recommandées sont les suivantes :

• Utilisez un portefeuille multi-signature ou un portefeuille froid pour stocker des actifs importants ;
• Utilisez un portefeuille de plug-in ou un portefeuille externe standard comme portefeuille chaud pour les interactions quotidiennes ;
• Changer régulièrement l'adresse du portefeuille chaud pour éviter que l'adresse ne soit continuellement exposée à un environnement à risque.

En cas de phishing malheureux, il est conseillé d'exécuter immédiatement les mesures suivantes pour réduire les pertes :

• Utilisez des outils de gestion des autorisations professionnels pour annuler les autorisations à haut risque ;
• Si un permis a été signé mais que l'actif n'a pas encore été transféré, vous pouvez immédiatement initier une nouvelle signature pour rendre l'ancien nonce de signature invalide;
• Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.

Quatre, Participer en toute sécurité aux activités de largage aérien

L'airdrop est une méthode courante de promotion des projets de blockchain, mais il comporte également des risques. Voici quelques conseils :

• Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations sur l'équipe publiées et d'une bonne réputation au sein de la communauté ;
• Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés, isolant ainsi les risques du compte principal ;
• Cliquez avec prudence sur les liens : obtenez des informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales ;

Cinq, recommandations sur le choix et l'utilisation des outils de plugins

Le contenu des règles de sécurité de la blockchain est varié et peut être difficile à vérifier en détail à chaque interaction. Par conséquent, il est crucial de choisir des plugins sûrs qui peuvent nous aider à évaluer les risques. Voici des recommandations spécifiques :

• Choisissez des extensions de confiance : utilisez des extensions de navigateur largement utilisées et réputées. Ces plugins offrent des fonctionnalités de portefeuille et prennent en charge l'interaction avec des applications décentralisées.
• Vérifiez la note : Avant d'installer un nouveau plugin, consultez la note des utilisateurs et le nombre d'installations. Une note élevée et un grand nombre d'installations indiquent généralement que le plugin est plus fiable, réduisant ainsi le risque de code malveillant.
• Restez à jour : Mettez régulièrement à jour les plugins pour bénéficier des dernières fonctionnalités de sécurité et des correctifs. Les plugins obsolètes peuvent contenir des vulnérabilités connues, facilement exploitées par des attaquants.

VI. Conclusion

En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain de plus en plus complexe, améliorant ainsi leur capacité de protection des actifs. Bien que la technologie blockchain soit axée sur la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière autonome à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les applications malveillantes.

Pour réaliser une véritable sécurité off-chain, il ne suffit pas de se fier uniquement aux outils de rappel ; il est essentiel d'établir une prise de conscience systémique de la sécurité et des habitudes opérationnelles. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, et en intégrant dans les opérations de transaction le principe de "vérification multiple, refus de signature aveugle, isolement des fonds", on peut véritablement parvenir à "s'inscrire librement et en toute sécurité off-chain".