Guide de sécurité des transactions pour les utilisateurs de Web3

Avec le développement constant de l'écosystème blockchain, les transactions on-chain sont devenues une partie importante des opérations quotidiennes des utilisateurs de Web3. Les actifs des utilisateurs sont en train de passer des plateformes centralisées vers des réseaux décentralisés, cette tendance signifie que la responsabilité de la sécurité des actifs se déplace progressivement des plateformes vers les utilisateurs eux-mêmes. Dans un environnement blockchain, les utilisateurs doivent être responsables de chaque étape, que ce soit pour importer un portefeuille, accéder à des applications décentralisées, procéder à des autorisations de signature ou initier des transactions, toute opération imprudente peut représenter un risque de sécurité, entraînant des conséquences graves telles que la fuite de clés privées, l'abus d'autorisations ou des attaques de phishing.

Bien que les plugins de portefeuille et les navigateurs principaux intègrent progressivement des fonctionnalités telles que la détection de phishing et les alertes de risque, faire face à des méthodes d'attaque de plus en plus complexes nécessite plus qu'une simple défense passive par des outils pour éviter complètement les risques. Afin d'aider les utilisateurs à mieux identifier les risques potentiels dans les transactions sur la chaîne, cet article se base sur l'expérience réelle pour organiser les scénarios de risque fréquents tout au long du processus, et combine des recommandations de protection et des astuces d'utilisation d'outils pour établir un guide systématique de sécurité des transactions sur la chaîne, visant à aider chaque utilisateur de Web3 à construire une "ligne de défense sécuritaire" "autonome et contrôlable".

Principes fondamentaux du commerce sécurisé :

• Refuser de signer à l'aveugle : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
• Vérification répétée : Avant d'effectuer toute transaction, assurez-vous de vérifier plusieurs fois l'exactitude des informations pertinentes.

I. Conseils pour des transactions sécurisées

Le commerce sécurisé est essentiel pour protéger les actifs numériques. Des études montrent que l'utilisation de portefeuilles sécurisés et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Voici des recommandations spécifiques :

• Choisir un portefeuille sécurisé :

Utilisez des fournisseurs de portefeuilles de bonne réputation, tels que des portefeuilles matériels ou des portefeuilles logiciels fiables. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, ce qui les rend adaptés au stockage d'actifs importants.

• Vérifiez soigneusement les détails de la transaction :

Avant de confirmer la transaction, assurez-vous de vérifier l'adresse de réception, le montant et le réseau, afin d'éviter des pertes dues à une erreur de saisie.

• Activer l'authentification à deux facteurs :

Si la plateforme de trading ou le portefeuille prend en charge la 2FA, assurez-vous de l'activer pour renforcer la sécurité de votre compte, surtout lorsque vous utilisez un portefeuille chaud.

• Évitez d'utiliser le Wi-Fi public :

N'effectuez pas de transactions sur des réseaux Wi-Fi publics pour éviter de subir des attaques de phishing et des attaques de l'homme du milieu.

Deuxièmement, comment effectuer des transactions en toute sécurité

Un processus de transaction d'application décentralisée complet comprend plusieurs étapes : installation du portefeuille, accès à l'application, connexion du portefeuille, signature des messages, signature des transactions et traitement post-transaction. Chaque étape présente certains risques de sécurité, et les précautions à prendre lors des opérations réelles seront présentées ci-dessous.

1. Installation du portefeuille :

Actuellement, la principale méthode d'utilisation des applications décentralisées est d'interagir via des portefeuilles de navigateur. Les portefeuilles populaires utilisés sur les chaînes compatibles EVM incluent plusieurs options.

Lors de l'installation d'un portefeuille de navigateur, il est important de s'assurer que le téléchargement se fait à partir de la boutique d'applications officielle pour éviter d'installer un logiciel de portefeuille contenant des portes dérobées à partir de sites tiers. Les utilisateurs ayant des conditions recommandent d'utiliser un portefeuille matériel en complément pour renforcer la sécurité de la gestion des clés privées.

Lors de la sauvegarde des mots de passe de votre portefeuille (généralement une phrase de récupération de 12 à 24 mots), il est conseillé de les stocker dans un endroit hors ligne sécurisé, loin des appareils numériques (par exemple, les écrire sur du papier et les conserver dans un coffre-fort).

2. Accéder aux applications décentralisées

Le phishing est une méthode courante d'attaque dans le Web3. Un exemple typique est d'inciter les utilisateurs à visiter des applications de phishing sous le prétexte d'un airdrop, puis de les amener à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils aient connecté leur portefeuille, entraînant ainsi des pertes d'actifs.

Par conséquent, lors de l'accès aux applications décentralisées, les utilisateurs doivent rester vigilants pour éviter de tomber dans le piège du phishing sur le web.

Avant d'accéder à l'application, veuillez vérifier l'exactitude de l'URL. Suggestions :

• Évitez d'accéder directement via des moteurs de recherche : les attaquants de phishing peuvent acheter des espaces publicitaires pour faire remonter leur site de phishing dans les classements.
• Évitez de cliquer sur les liens dans les réseaux sociaux : les URL publiées dans les commentaires ou les messages peuvent être des liens de phishing.
• Vérifiez à plusieurs reprises la validité de l'URL de l'application : cela peut être vérifié par des plateformes de données DeFi, des marchés d'applications et les comptes de médias sociaux officiels des projets.
• Ajouter le site sécurisé aux favoris du navigateur : Accéder directement depuis les favoris par la suite.

Après avoir ouvert la page de l'application, il est également nécessaire de procéder à une vérification de sécurité de la barre d'adresse :

• Vérifiez si le nom de domaine et l'URL ressemblent à des contrefaçons.
• Vérifiez si c'est un lien HTTPS, le navigateur doit afficher le symbole de verrouillage 🔒.

Les portefeuilles d'extension les plus courants sur le marché intègrent également certaines fonctionnalités de notification de risque, capables d'afficher des alertes fortes lors de l'accès à des sites Web à risque.

3. Connecter le portefeuille

Après être entré dans l'application décentralisée, l'opération de connexion du portefeuille peut être déclenchée automatiquement ou après avoir cliqué activement sur Connect. Le portefeuille plugin effectuera certaines vérifications et affichera des informations concernant l'application actuelle.

Après avoir connecté le portefeuille, l'application ne déclenchera généralement pas le portefeuille du plugin si l'utilisateur n'effectue pas d'autres opérations. Si le site demande fréquemment des signatures de messages ou des transactions après la connexion, même après avoir refusé la signature, cela pourrait également être un site de phishing, et il faut donc faire preuve de prudence.

4. Signature de message

Dans des cas extrêmes, par exemple, si un attaquant envahit le site officiel du protocole ou effectue des attaques telles que le détournement du front-end, le contenu de la page peut être remplacé. Il est très difficile pour un utilisateur ordinaire d'évaluer la sécurité du site dans ce scénario.

À ce stade, la signature du portefeuille plugin est la dernière barrière de protection des actifs de l'utilisateur. Tant que l'utilisateur refuse les signatures malveillantes, il peut protéger ses actifs contre les pertes. L'utilisateur doit examiner attentivement le contenu de la signature avant de signer tout message et toute transaction, et refuser les signatures aveugles pour éviter toute perte d'actifs.

Les types de signatures courants incluent :

• Signature des données de hachage
• Signature d'informations en clair, la plus courante lors de la vérification de connexion de l'utilisateur ou de la confirmation d'accord de licence.
• Signature des données structurées, couramment utilisée pour l'autorisation des tokens, les ordres de NFT, etc.

5. Signature de transaction

La signature de transaction est utilisée pour autoriser les transactions sur la blockchain, telles que les transferts ou l'appel de contrats intelligents. L'utilisateur signe avec sa clé privée, et le réseau vérifie la validité de la transaction. Actuellement, de nombreux portefeuilles plug-in déchiffrent les messages à signer et affichent le contenu pertinent. Il est impératif de suivre le principe de ne pas signer à l'aveugle. Conseils de sécurité :

• Vérifiez attentivement l'adresse du bénéficiaire, le montant et le réseau pour éviter les erreurs.
• Il est conseillé de signer hors ligne pour les transactions importantes afin de réduire le risque d'attaques en ligne.
• Faites attention aux frais de gas, assurez-vous qu'ils sont raisonnables et évitez les escroqueries.

Pour les utilisateurs ayant une certaine expertise technique, il est également possible d'utiliser certaines méthodes de vérification manuelle courantes : en copiant l'adresse du contrat interactif cible dans un explorateur de blockchain pour l'examiner. Les éléments à vérifier comprennent principalement si le contrat est open source, s'il y a eu récemment un grand nombre de transactions, et si l'explorateur a attribué une étiquette officielle ou malveillante à cette adresse.

6. Traitement post-transaction

Échapper aux pages de phishing et aux signatures malveillantes ne signifie pas que tout va bien ; la gestion des risques doit également être effectuée après la transaction.

Après la transaction, il est important de vérifier rapidement l'état de la chaîne de la transaction pour confirmer s'il correspond à l'état prévu au moment de la signature. En cas d'anomalie, il est conseillé d'effectuer rapidement des opérations de transfert d'actifs, de révocation d'autorisation, etc., pour limiter les pertes.

La gestion des autorisations de jetons est également très importante. Dans certains cas, après que les utilisateurs ont accordé des autorisations de jetons à certains contrats, ces contrats ont été attaqués des années plus tard, et les attaquants ont utilisé le montant d'autorisation de jetons du contrat attaqué pour voler des fonds des utilisateurs. Pour éviter de telles situations, il est recommandé aux utilisateurs de suivre les normes suivantes pour prévenir les risques :

• Autorisation minimale. Lors de l'autorisation de jetons, l'autorisation du nombre de jetons concernés doit être limitée en fonction des besoins de la transaction. Si une transaction nécessite l'autorisation de 100 jetons, le nombre d'autorisations doit donc être limité à 100, et il ne faut pas utiliser l'autorisation par défaut illimitée.
• Révoquez rapidement les autorisations de jetons non nécessaires. Les utilisateurs peuvent se connecter à l'outil de gestion des autorisations pour vérifier l'état des autorisations de l'adresse correspondante, révoquer les autorisations des protocoles qui n'ont pas interagi depuis longtemps, afin d'éviter que des vulnérabilités dans le protocole n'entraînent une perte d'actifs en utilisant les limites d'autorisation des utilisateurs.

Trois, stratégie d'isolement des fonds

Dans un contexte où une conscience des risques est établie et où des mesures de prévention des risques adéquates sont mises en place, il est également conseillé d'effectuer une séparation efficace des fonds afin de réduire le degré de perte des fonds en cas de situations extrêmes. Les stratégies recommandées sont les suivantes :

• Utilisez un portefeuille multi-signatures ou un portefeuille froid pour stocker des actifs de grande valeur ;
• Utiliser un portefeuille de plugin ou un portefeuille ordinaire comme portefeuille chaud pour les interactions quotidiennes ;
• Changer régulièrement l'adresse du portefeuille chaud pour éviter que l'adresse soit constamment exposée à un environnement à risque.

Si vous tombez accidentellement dans une situation de phishing, il est conseillé d'exécuter immédiatement les mesures suivantes pour réduire les pertes :

• Annuler les autorisations à haut risque à l'aide de l'outil de gestion des autorisations ;
• Si une signature de licence a été signée mais que l'actif n'a pas encore été transféré, une nouvelle signature peut être immédiatement initiée pour invalider l'ancienne signature ;
• Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.

Quatre, comment participer en toute sécurité aux activités de airdrop

Les airdrops sont une méthode courante de promotion des projets blockchain, mais ils comportent également des risques. Voici quelques conseils :

• Recherche de fond de projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations sur l'équipe publiques et d'une réputation de communauté.
• Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés pour isoler le risque du compte principal ;
• Cliquez prudemment sur les liens : obtenez des informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales ;

Cinq, conseils sur le choix et l'utilisation des outils de plugins

Le contenu des règles de sécurité de la blockchain est vaste, et il se peut que nous ne puissions pas toujours effectuer des vérifications détaillées à chaque interaction. Le choix de plugins sûrs est essentiel, car cela peut nous aider à évaluer les risques. Voici des suggestions concrètes :

• Extensions de confiance : utilisez des extensions de navigateur largement adoptées. Ces plugins offrent des fonctionnalités de portefeuille et prennent en charge l'interaction avec des applications décentralisées.
• Vérifiez les évaluations : avant d'installer un nouveau plugin, vérifiez les évaluations des utilisateurs et le nombre d'installations. Une haute évaluation et un grand nombre d'installations indiquent généralement que le plugin est plus fiable, réduisant ainsi le risque de code malveillant.
• Restez à jour : Mettez régulièrement à jour vos plugins pour bénéficier des dernières fonctionnalités de sécurité et des correctifs. Les plugins obsolètes peuvent contenir des vulnérabilités connues, susceptibles d'être exploitées par des attaquants.

VI. Conclusion

En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain de plus en plus complexe, améliorant ainsi la protection de leurs actifs. Bien que la technologie blockchain soit fondée sur les avantages de la décentralisation et de la transparence, cela signifie également que les utilisateurs doivent faire face de manière indépendante à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les applications malveillantes.

Pour réaliser une véritable sécurité sur la blockchain, il ne suffit pas de dépendre des outils d'alerte, il est essentiel d'établir une prise de conscience systématique de la sécurité et des habitudes opérationnelles. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, ainsi qu'en intégrant dans les opérations de transaction le concept de "vérification multiple, refus de la signature aveugle, isolement des fonds", on peut réellement atteindre un "enregistrement sur la blockchain libre et sécurisé".