Rédaction : SafePal

La « forêt sombre », un concept né de la sociologie cosmique (des Trois Corps), est également la plus crue des résumés de la sécurité actuelle de Web3 : il existe un espace d'imagination et de jeu innovant en ligne, mais c'est aussi comme une « forêt sombre », pleine de jeux à somme nulle sanguinaires et cruels, où les investisseurs ordinaires jouent souvent le rôle de « proies » dans un déséquilibre d'information.

Le 16 novembre, plusieurs utilisateurs de la communauté ont signalé que le terminal de trading en ligne DEXX avait été piraté. L'analyse ultérieure a révélé des vulnérabilités évidentes dans la gestion des clés privées de DEXX, qui avaient même été transmises et stockées en texte clair. À ce jour, les pertes totales, selon des estimations non officielles, dépassent les 20 millions de dollars.

Dans ce contexte, comment les utilisateurs ordinaires peuvent-ils améliorer leurs mécanismes de protection personnelle en ligne est un sujet d'une grande préoccupation. Veronica, co-fondatrice et PDG de SafePal, a également participé à l'événement 𝕏 Space organisé par 137Labs intitulé « Réflexions sur la sécurité déclenchées par l'incident DEXX : comment éviter les « pièges » dans les investissements cryptographiques », discutant de l'incident de sécurité DEXX avec Andy, fondateur de BlockSec, un trader senior, et OneOne, chercheur chez 137Labs, et fournissant des conseils pratiques sur la sécurité pour les investisseurs cryptographiques.

Cet article est un résumé des partages intéressants des invités lors de cet événement Twitter Space, spécialement organisé pour le lecteur.

Le « fardeau insupportable » des outils Bot de course

Dans l'investissement cryptographique, il est souvent difficile de concilier rendements élevés et sécurité absolue. Les outils de Trading Bot tels que DEXX et Unibot attirent les utilisateurs grâce à des suivis automatisés en un clic et des transferts rapides de fonds, mais cette commodité repose sur une architecture centralisée, exigeant des utilisateurs qu'ils autorisent le transfert de fonds ou fournissent des accès au portefeuille, ce qui augmente considérablement les risques pour les actifs.

Cependant, les utilisateurs sous-estiment généralement les exigences de sécurité de ces outils de trading, ayant tendance à faire confiance aux grandes bourses tout en ignorant les risques des plateformes d'outils plus petites. L'incident DEXX a révélé des vulnérabilités mortelles dans la gestion des clés privées de certains outils de trading. Un véritable « portefeuille non déposé » doit garantir que les clés privées ne sont stockées que sur les appareils des utilisateurs et non sur des serveurs centralisés. Même si les clés privées sont chiffrées, l'absence de soutien technique en matière de protection de la mémoire (comme TEE ou enclave) ne peut toujours pas éviter la possibilité de vol.

Parallèlement, la méthode d'attaque utilisée cette fois-ci est complexe, les hackers dispersant les fonds pour augmenter la difficulté de traçage. Cela rend non seulement le recouvrement des fonds plus difficile, mais préfigure également que de futurs incidents similaires pourraient être encore plus complexes à prévenir, ce qui entraîne deux possibilités : soit la plateforme est piratée en raison de vulnérabilités techniques, soit il existe des complices internes ou une infiltration profonde. Dans ce dernier cas, le risque futur pourrait être beaucoup plus grave.

Les données de Dune montrent que les cinq principaux bots en termes de volume de transactions sont : Trojan, BonkBot, Maestro, Banana Gun, Sol Trading Bot, avec un volume de transactions de plus de 100 millions de dollars sur 7 jours et plus de 300 000 utilisateurs cumulés. C'est pourquoi l'état d'esprit « soit des gains énormes, soit zéro » pousse la plupart des utilisateurs à ignorer les risques potentiels énormes.

Source de l'image : Dune

Veronica estime que presque tous ces outils de trading « à la course » peuvent faire face à des risques de sécurité similaires. Ces bots réalisent des transactions en chaîne très rapidement en évitant la signature manuelle à chaque fois, car ils sacrifient une partie de la sécurité et des caractéristiques non déposées :

En général, que ce soit en utilisant des portefeuilles matériels, des portefeuilles d'application ou des portefeuilles d'extension de navigateur, les utilisateurs doivent passer quelques secondes à confirmer manuellement la signature. Cependant, pour améliorer la vitesse des transactions et optimiser l'expérience utilisateur, ces bots choisissent souvent de compromettre la sécurité de certaines clés privées pour obtenir des transactions plus rapides.

Ce design n'est pas complètement erroné et on ne peut pas simplement dire que ces projets sont tous non sécurisés. Cependant, cela impose effectivement des exigences très élevées en matière de protection de la sécurité pour les équipes de développement. Pour offrir une expérience fluide, si l'équipe de développement ne peut pas garantir une capacité d'attaque et de défense de sécurité robuste, les conséquences d'une attaque pourraient être extrêmement graves, tant pour les utilisateurs que pour les créateurs de projet.

En outre, la plupart des bots de trading actuels présentent effectivement un risque de sécurité significatif : pour réaliser des transactions automatisées, ils génèrent et conservent des clés privées pour chaque utilisateur. Bien que cela facilite le suivi automatique, cela engendre un risque de sécurité très élevé. Si un attaquant réussit à pirater la plateforme, toutes les clés privées stockées des utilisateurs peuvent être divulguées, entraînant des pertes d'actifs.

Source de l'image : Page de gestion de portefeuille DEXX

Cependant, il existe en réalité une architecture de trading plus sûre qui permet d'effectuer des transactions automatisées sans utiliser la clé privée de l'utilisateur :

Cette architecture repose sur des contrats intelligents, permettant d'effectuer des transactions sans nécessiter la signature de la clé privée de l'utilisateur en créant un « compte PDA » associé au compte de l'utilisateur. La plateforme peut exécuter les instructions de transaction via un « compte opérationnel » restreint, mais les autorisations de ce compte opérationnel sont strictement contrôlées et ne peuvent effectuer que des opérations de transaction, sans pouvoir transférer librement les actifs des utilisateurs.

Ce design piloté par des contrats intelligents peut considérablement améliorer la sécurité, car les clés privées des utilisateurs restent toujours entre leurs mains et ne sont pas stockées sur des serveurs centralisés. Bien que ce design soit plus complexe et exige des compétences techniques plus élevées de la part de l'équipe, il est entièrement réalisable et plus sûr.

Actuellement, la plupart des utilisateurs ne sont pas au courant de la différence entre ces deux modèles de conception, ou ils négligent la sécurité au profit de la commodité. Mais avec la fréquence des incidents de sécurité, les utilisateurs et les équipes de développement pourraient accorder de plus en plus d'importance à des architectures plus sûres. Ce type de conception avancée a le potentiel de se répandre progressivement à l'avenir, réduisant la survenue d'incidents similaires à DEXX.

De l'autorisation de transaction à la protection des clés privées, la chaîne de sécurité Web3

OneOne estime qu'actuellement, les risques de sécurité en ligne peuvent être divisés en deux grandes catégories, englobant des aspects allant de l'autorisation de transactions à la protection des clés privées.

La première méthode d'attaque courante est le « piège d'approbation ». Par exemple, des attaques par « poussière » en envoyant de petites quantités d'actifs cryptographiques ou en airdroppant des NFT pour inciter les utilisateurs à cliquer et autoriser des transactions. Cette opération peut permettre à l'attaquant d'accéder aux autorisations du portefeuille de l'utilisateur, ce qui pourrait entraîner le vol des actifs de l'utilisateur (y compris les cryptomonnaies et les NFT). Les utilisateurs doivent être prudents avec les jetons et les airdrops d'origine inconnue et éviter d'autoriser facilement.

Le vol de clés privées se produit généralement de plusieurs manières :

  • La première est l'« attaque par logiciel malveillant », où certains attaquants prétendent inviter les utilisateurs à tester un nouveau projet, les incitant à télécharger des fichiers exécutables contenant des virus de chevaux de Troie. Une fois piégés, les clés privées et les mots de passe des comptes des utilisateurs peuvent être facilement dérobés.

  • La deuxième est l'« accès au presse-papiers », où les attaquants obtiennent l'accès au presse-papiers des utilisateurs via des sites de phishing. Lorsque les utilisateurs copient et collent des clés privées, ces informations sensibles peuvent être interceptées et utilisées par les attaquants.

  • De plus, il existe des cas d'« attaques à distance », où des logiciels malveillants à distance contrôlent l'ordinateur de l'utilisateur, voire volent directement les clés privées pendant que l'utilisateur se repose. Par exemple, les utilisateurs qui réclament des airdrops utilisent souvent des « navigateurs à empreinte digitale », généralement impliqués dans des fonctionnalités de stockage en nuage. Si ceux-ci sont piratés, les actifs de l'utilisateur peuvent être facilement volés. De nombreux utilisateurs n'ont pas mis en place de vérification en deux étapes (2FA) lorsqu'ils utilisent ces outils, ce qui aggrave encore le risque.

  • Enfin, il y a le « risque lié au logiciel de saisie ». De nombreux utilisateurs aiment utiliser des logiciels de saisie intelligents, mais ces outils peuvent collecter les données de saisie des utilisateurs et les stocker dans le cloud, ce qui augmente également la possibilité de fuite de clés privées. Il est conseillé aux utilisateurs d'utiliser autant que possible le logiciel de saisie intégré au système, bien que ses fonctionnalités soient limitées, mais sa sécurité est plus élevée.

Dans l'ensemble, lorsque les utilisateurs effectuent des transactions en chaîne, en particulier lors de l'utilisation d'applications ou d'outils DeFi, ils doivent prendre des mesures de sécurité supplémentaires, dont la gestion des autorisations est un problème à prendre très au sérieux. En raison du mécanisme d'Ethereum qui nécessite que les utilisateurs accordent des autorisations de jetons aux contrats intelligents, les attaquants peuvent exploiter ce mécanisme d'autorisation pour des opérations malveillantes. Les utilisateurs doivent donc vérifier régulièrement la liste des autorisations de leur portefeuille et révoquer en temps utile les autorisations inutiles, en particulier celles qui pourraient avoir été oubliées, afin de réduire les risques.

De plus, lorsque les utilisateurs choisissent des plateformes DeFi, ils devraient examiner les mesures de sécurité de la plateforme, y compris l'existence de rapports d'audit complets, de surveillance de sécurité automatisée continue, et si la plateforme effectue régulièrement des mises à jour et des correctifs de vulnérabilités. Lors de l'utilisation de Trading Bots, il est recommandé aux utilisateurs de diversifier la gestion de leurs actifs, de ne pas stocker de grosses sommes d'argent dans des comptes contrôlés par des robots de trading, et de transférer rapidement les fonds vers un portefeuille plus sécurisé après avoir réalisé des bénéfices, afin de réduire les pertes potentielles.

Le trader a déclaré qu'en tant que trader, il est crucial de connaître les outils de trading et les mécanismes de la plateforme. Dans l'environnement actuel du trading de « chiens de terre », beaucoup se concentrent uniquement sur les gains rapides et les pertes, négligeant les risques de sécurité des outils de trading. Les utilisateurs devraient mettre en place des alertes de sécurité, comme une alerte de liquidité ou un avertissement de liquidation, afin de contrôler le risque à tout moment.

Veronica a souligné un principe simple mais important : il y a toujours des compromis entre la recherche de profits efficaces et la sécurité totale. Ainsi, le conseil le plus crucial est de bien séparer les fonds. Si vous vous trouvez anxieux et incapable de dormir à cause d'une position d'investissement trop importante, ou si vous vérifiez fréquemment votre téléphone, cela pourrait indiquer que votre allocation de fonds a dépassé votre capacité à tolérer le risque.

Quels outils pratiques de vérification de la sécurité en ligne existent ?

Veronica recommande aux utilisateurs d'utiliser des outils de sécurité intégrés dans des portefeuilles non déposés comme SafePal, par exemple, en vérifiant régulièrement les autorisations — les utilisateurs peuvent scanner tous leurs enregistrements d'autorisation sur plusieurs chaînes et révoquer d'un clic les autorisations inutiles pour réduire le risque d'exploitation par des hackers.

Source de l'image : Fonction « Gestionnaire d'approbation » de SafePal

De plus, les fraudeurs tendent souvent à se déguiser en adresses de transfert des utilisateurs par de petits transferts pour escroquer des fonds. Actuellement, des portefeuilles principaux tels que OKX Web3 et SafePal ont ajouté des services d'interception de transactions à risque pour contrer les « attaques de début à fin ». De plus, l'utilisation d'un portefeuille matériel + d'une phrase de passe est une fonctionnalité peu connue mais très pratique, particulièrement adaptée aux utilisateurs ayant plusieurs comptes de trading :

La phrase de passe, en tant que 13ème mot, est combinée avec les 12 mots de passe originaux pour générer une nouvelle adresse de portefeuille. Même si quelqu'un obtient vos mots de passe, sans la phrase de passe, il ne peut pas accéder aux actifs. Cela signifie que les utilisateurs peuvent créer plusieurs comptes de portefeuille de cette manière pour assurer leur sécurité.

Cette méthode augmente non seulement la sécurité des clés privées, mais permet également aux utilisateurs de gérer leurs actifs de manière flexible entre plusieurs comptes, et la phrase de passe peut exister uniquement dans l'esprit de l'utilisateur, améliorant ainsi encore plus la sécurité.

Andy souligne également que de nombreuses fois, les utilisateurs rencontrent des incidents de sécurité, non seulement en raison des risques du projet lui-même, mais aussi en raison de leurs propres habitudes de sécurité insuffisantes. Même si les utilisateurs réalisent qu'ils détiennent une quantité importante d'actifs cryptographiques ou savent que le trading comporte des risques, ils exposent souvent leurs actifs à des dangers en raison de mauvaises habitudes.

Il est conseillé aux utilisateurs de maintenir une conscience et des habitudes de sécurité isolées, par exemple en stockant des actifs importants dans un portefeuille froid, utilisé uniquement pour les interactions et non pour le transfert direct de fonds, tout en utilisant un téléphone dédié (comme un iPhone) pour gérer les actifs cryptographiques, l'utilisant uniquement pour le trading de cryptomonnaies ou la gestion de clés privées, sans installer d'autres logiciels non liés aux transactions ou effectuer d'autres activités sur cet appareil. Cela peut réduire considérablement le risque de fuite de clés privées.

Conclusion

L'incident de sécurité de DEXX révèle le dilemme central du domaine des outils de trading en chaîne : comment trouver un équilibre entre commodité et sécurité ?

Tout en poursuivant un trading efficace et une bonne expérience utilisateur, la conception de la sécurité de la plateforme ne doit pas être sacrifiée. Que ce soit le stockage centralisé des clés privées ou le manque de protections au niveau de la mémoire, ces lacunes techniques exposent les actifs des utilisateurs à des risques élevés.

« Il y a toujours des compromis entre des rendements élevés et une sécurité absolue. » Pour les investisseurs, comprendre la logique de risque derrière les outils de trading et développer de bonnes habitudes de sécurité est la base pour traverser la « forêt sombre » de la chaîne. Dans cet écosystème décentralisé et plein d'incertitudes, seul le contrôle de sa propre clé privée permet de maîtriser réellement ses actifs et de promouvoir le développement plus sain de l'écosystème en chaîne dans son ensemble.