Les vols de cryptomonnaies sont fréquents. Que faut-il savoir sur la protection des cryptomonnaies ?

Comment identifier les fausses adresses de portefeuille ? Pourquoi les portefeuilles froids risquent-ils toujours d'être piratés ? Comment ces attaques se produisent-elles ? Quel type de personnes deviennent la cible des pirates ? Comment éviter de tels problèmes ?

Récemment, Web3 a été fréquemment victime de vols de cryptomonnaies, notamment l'incident très médiatisé du vol de 1 155 WBTC, qui a attiré l'attention du grand public. La protection des actifs cryptés est également devenue le centre de l'attention de tous. En réponse à cet incident, PoPP et OneKey ont organisé conjointement un espace pour partager avec la communauté les problèmes liés à la sécurité en chaîne, qui regorgeait d'informations pratiques et offrait une leçon de vulgarisation scientifique aux nouveaux arrivants qui manquent de sensibilisation à la prévention.

Invités :

• Directeur technique de PoPP : Neo
• Tête OneKey Eco : Cavin

Animateur : JY

Cet espace aborde principalement les problématiques suivantes :

1. Comment identifier les fausses adresses de portefeuille ?

2. Qu'est-ce qui est le plus sûr : stocker des crypto-monnaies dans un exchange ou dans un portefeuille ?

3. Pourquoi les portefeuilles froids risquent-ils toujours d'être piratés ? Comment ces attaques se produisent-elles ?

4. Quel type de personnes seront la cible des pirates informatiques ? Comment éviter les pièges du trading/partager votre expérience ?

5. Actuellement, PoPP a attiré de nombreux utilisateurs. Comment garantit-il la sécurité des actifs ?

1. Comment identifier les fausses adresses de portefeuille ?

En ce qui concerne la façon d'identifier les fausses adresses de portefeuille, Cavin a mentionné deux méthodes. La première consiste à vérifier soigneusement chaque chiffre et chaque lettre lors du transfert d'argent pour éviter d'être contrefait. Deuxièmement, les portefeuilles logiciels grand public actuels disposent de cette fonction de bibliothèque d'adresses, notamment OKX et OneKey Classic. Vous pouvez placer vos adresses fréquemment utilisées dans cette bibliothèque d'adresses pour sélectionner rapidement la bonne adresse. Rappelez à tout le monde de s'assurer que l'environnement est sûr avant de transférer de l'argent et d'éviter de copier les adresses des enregistrements de transaction.

Neo a fait d'autres ajouts dans son partage. Neo a partagé un développeur dans son équipe qui n'a jamais cru aux portefeuilles chauds. Il n'utilisait que son propre portefeuille de nœuds pour transférer tous les fonds et le contrôlait avec une mini banque. Bien sûr, les gens ordinaires comme nous ne peuvent pas faire cela. Les gens ordinaires peuvent prendre des précautions à partir des 4 aspects suivants :

• a. Tout d’abord, assurez-vous de disposer d’un environnement sécurisé, comprenant un réseau, un VPN, un téléphone mobile et un environnement informatique.
• b. Deuxièmement, choisissez un appareil sécurisé, tel qu’un appareil Apple ou un portefeuille matériel.

• Il ne fait aucun doute que les appareils Apple sont relativement sûrs, et il existe également des portefeuilles matériels. Lorsque nous devons installer d'autres logiciels sur Android, il est recommandé d'utiliser un ou deux portefeuilles grand public. Si vous devez importer fréquemment des mnémoniques, évitez d'utiliser le presse-papiers. Rappelez à tout le monde de ne pas télécharger trop de portefeuilles et de ne les mettre à jour que dans l'application.

• c. De plus, prenez l'habitude d'effectuer un petit transfert test avant de confirmer la transaction. Il est recommandé de transférer l'argent à l'autre partie en scannant le code et de confirmer l'opération avant et après le transfert.
• d. Enfin, vérifiez le navigateur de blockchain pour confirmer les détails du transfert après chaque transfert.

• Si vous constatez que le montant ou l'adresse de destination est erroné, vous pouvez toujours prendre des mesures correctives immédiatement. Vous pouvez également lancer immédiatement une nouvelle transaction avec des frais de gaz plus élevés pour compenser votre transaction précédente. Il est toujours possible de récupérer l'argent, mais si vous parvenez à transférer l'argent ou à cliquer sur un logiciel de phishing, vous ne pourrez peut-être rien faire.

2. Est-il plus sûr de stocker des crypto-monnaies dans une bourse ou dans un portefeuille ?

Animateur JY :

Merci à Neo et Cavin pour le partage. J'aimerais poser une question, qu'est-ce qui est le plus sûr, un échange ou un portefeuille ?

Cavin :

Du point de vue du niveau de sécurité, les portefeuilles matériels ont le niveau de sécurité le plus élevé. Bien que le seuil d'utilisation des portefeuilles matériels et la difficulté de fonctionnement soient plus élevés que ceux des portefeuilles chauds, ils ne sont pas aussi pratiques que ces derniers.

Les échanges et les portefeuilles chauds sont moins sûrs, mais ils sont très pratiques. Il est recommandé de placer une partie de vos fonds dans un échange fiable, comme Binance ou OKX. Il n'y aura pas de problèmes majeurs à court terme, mais vous ne pouvez pas leur faire entièrement confiance.

Il est recommandé de placer une partie des fonds sur une plateforme d'échange fiable, mais pas trop. Pour les protocoles peu courants, de nouveaux portefeuilles chauds peuvent être utilisés pour une gestion isolée.

Néo:

Au niveau technique, la sécurité est toujours relative. Il n’existe pas de sécurité absolue ; c’est simplement une question de coût.

portefeuille:

Si vous le gardez dans votre portefeuille et ne touchez pas à Internet, il est relativement sûr. Cependant, après avoir interagi avec d'autres dApps et vous être connecté fréquemment, votre indice de sécurité continuera à baisser au cours du processus.

Échange:

Les crypto-monnaies sont relativement plus sûres sur les plateformes d'échange que sur les portefeuilles chauds. Il n'y a pas de point de défaillance unique dans les plateformes d'échange. Vous ne perdrez pas vos actifs lorsque vous négociez, achetez, vendez ou transférez. Et l'avantage que les plateformes d'échange peuvent offrir est la capacité de compenser. Même si vous perdez votre argent sur la plateforme d'échange, la plateforme d'échange peut vous indemniser.

Modérateur JY : Par exemple, mon portefeuille a de nombreuses interactions et autorisations. Lorsque je termine la vente du NFT, puis-je annuler l'autorisation précédente ?

Cavin : Oui. Si vous n'avez pas l'habitude de vérifier régulièrement si l'autorisation de contrat a été annulée, le risque va progressivement augmenter.

3. Pourquoi les portefeuilles froids risquent-ils toujours d'être piratés ? Comment ces attaques se produisent-elles ?

Animateur JY :

J'ai compris. J'avais un ami qui a perdu 1,26 million USDT lorsqu'il a échangé des fonds d'OKX vers un portefeuille OKX. Le personnel a dit qu'il pouvait être gelé pendant deux heures, mais il a ensuite mentionné que son argent était auparavant dans un portefeuille froid. Pourquoi existe-t-il toujours un risque de piratage de portefeuilles froids ? Comment ces attaques se produisent-elles ?

Cavin :

Je pense que cela n'a rien à voir avec les portefeuilles froids, et il peut y avoir un problème lors du transfert de fonds. Les portefeuilles matériels assurent généralement la sécurité en stockant des clés privées ou des mnémoniques dans la puce. Cependant, lorsque vous utilisez des portefeuilles matériels, vous devez être connecté à Internet et les clés privées sont stockées dans le cache du navigateur ou dans des fichiers de données, elles sont donc vulnérables aux attaques de pirates informatiques.

Les portefeuilles matériels doivent être utilisés avec les portefeuilles logiciels. Le processus de signature est effectué sur le portefeuille matériel et votre clé privée ne sera jamais en contact avec Internet.

En fait, ce processus est transféré vers l'appareil physique. Il dispose en fait d'une puce sécurisée (Secure). La signature est complétée en utilisant la clé privée de la puce. Après la signature, elle transmettra la signature au portefeuille logiciel. Une fois que le portefeuille logiciel aura obtenu le portefeuille, il enverra la transaction à la chaîne. Le processus de signature est donc terminé sur le portefeuille matériel sans que vous soyez connecté à Internet.

En cas de perte du portefeuille matériel, il vous suffit d'importer la phrase mnémonique dans un nouveau portefeuille matériel. Cependant, il existe un risque d'attaques d'ingénierie sociale et les pirates informatiques peuvent obtenir le code de déverrouillage du portefeuille pour voler des actifs.

Le principe de conception des portefeuilles matériels est d'ajouter une deuxième confirmation lors du processus de signature de la transaction pour augmenter la sécurité. Les attaques de la chaîne d'approvisionnement et les attaques internes sont également des risques, il est donc recommandé d'acheter des portefeuilles matériels open source. Dans le but de garantir que le portefeuille matériel n'a pas été altéré, même en cas de perte du portefeuille matériel, les actifs sont toujours en sécurité.

Animateur JY :

Bien que les portefeuilles matériels nécessitent des signatures en ligne, ils ne sont pas sûrs à 100%. Comment pouvons-nous éviter autant que possible de telles situations ? Existe-t-il d'autres méthodes d'identification ?

Cavin :

Les produits OneKey ont obtenu la certification EAL 6+ et sont hautement sécurisés. Il est difficile pour les pirates d'exporter des clés privées à partir de portefeuilles matériels, et le craquage par force brute est extrêmement difficile. Les portefeuilles logiciels sont vulnérables aux attaques réseau, et les portefeuilles matériels peuvent isoler ce processus.

Néo:

La sécurité est relative et le système de clé privée pose des problèmes. Soyez prudent lorsque vous gérez vos actifs et ne comptez pas sur un seul appareil pour stocker tous vos actifs. Faites des sauvegardes et ne faites confiance à aucun appareil apparemment sûr. Nous vous proposerons des solutions pour mieux gérer vos actifs.

4. Quel type de personnes deviennent des cibles pour les pirates informatiques ? Quelles conditions doivent être remplies ?

Animateur JY : Quel type de personnes deviennent la cible des hackers ? Quelles conditions doivent être remplies ?

Cavin :

D'après les cas de 1 155 WBTC, nous supposons que le pirate a effectué des collisions de hachage et simulé des adresses avant de lancer l'attaque, en jetant un large filet, couvrant probablement des dizaines de milliers d'adresses. Les actions habituelles des pirates peuvent être découvertes grâce aux enregistrements des réunions de transaction. Les utilisateurs doivent prendre des mesures de protection, notamment la gestion des fonds, l'isolement des portefeuilles dans différents scénarios, la vérification régulière de l'autorisation des adresses et le développement de bonnes habitudes de transaction de transfert.

Néo:

Les pirates informatiques peuvent voler des actifs sans discernement en plaçant des liens de phishing, y compris des méthodes d'autorisation, des méthodes de transfert simulées et en volant des clés privées.

Les pirates informatiques peuvent également cibler des particuliers. Lorsqu'ils découvrent qu'il y a beaucoup de fonds sur la chaîne, ils lancent des attaques et vous envoient des liens via des messages sur les réseaux sociaux. Ils peuvent également vous demander d'acheter des USDT, vous envoyer des e-mails, se faire passer pour des collègues et voler de bien d'autres manières. Soyez donc prudent et ne faites confiance à personne et ne cliquez sur des liens inconnus.

Du côté du projet, les pirates informatiques peuvent cibler l'adresse du contrat pour détecter des vulnérabilités et des attaques. Le côté projet doit faire un bon travail d'audit et de vérification des actifs des utilisateurs. En outre, les pirates informatiques sont susceptibles d'attaquer le personnel du service client du côté projet, d'envahir l'ordinateur en ajoutant des amis, en envoyant des messages, etc., d'obtenir des informations sur l'intranet et de voler des actifs. Les pirates informatiques sont plus susceptibles d'avoir des intrusions organisées et préméditées contre des entreprises et des utilisateurs disposant d'actifs importants. L’équipe doit être formée et mettre en place des mesures préventives efficaces.

L'utilisateur A a posé une question

Comment identifier et prévenir les attaques de phishing et de liens ?

Néo:

Premièrement, que ce soit sur un téléphone mobile ou un PC, lorsque vous n'êtes pas sûr que le lien soit valide, vous pouvez utiliser le mode privé ou le mode incognito de Google Chrome pour ouvrir le lien.

Deuxièmement, lorsque vous devez installer un logiciel sur votre ordinateur, je vous recommande d'utiliser une collection comme CMC. Vous pouvez utiliser le mode privé pour accéder aux projets Twitter ou au site Web public de la plateforme d'agrégation. Deuxièmement, utilisez un lien de portefeuille vide. Utilisez vos yeux nus pour identifier l'adresse officielle. En général, le nom de domaine officiel n'est pas très compliqué.

Cavin :

Ajout : Vous pouvez également installer certains plugins de sécurité. Deuxièmement, il n'est pas recommandé de rechercher des sites Web de projets sur Google.

L'utilisateur B pose une question

Est-il sûr de conserver des actifs cryptographiques ou des produits au comptant sur des bourses ?

Néo:

Tout échange est relativement sûr. Cela dépend de l'échange sur lequel vous le placez. Certains échanges ont une certaine capacité à payer une compensation. Même si vous perdez une petite quantité d'actifs, ils peuvent vous indemniser, comme Binance. Cependant, les actifs du contrat peuvent disparaître ; l'endroit peut être bon. Il convient de noter qu'il est normal que les petits échanges s'enfuient et que les petits échanges peuvent ne pas être en mesure de résister aux attaques de pirates informatiques et peuvent être volés. Il est recommandé de le placer dans un échange traditionnel avec des capacités de compensation.

5. Actuellement, PoPP a attiré de nombreux utilisateurs. Comment garantit-il la sécurité des actifs ?

Animateur JY : Actuellement, PoPP a attiré de nombreux utilisateurs. Comment garantit-il la sécurité des actifs ?

Néo:

La sécurité des actifs est notre priorité. Voici quelques mesures clés que nous avons prises :

Le premier est la gestion de la sécurité de l’ensemble du système de compte :

Nous utilisons actuellement la méthode MPC pour gérer le système de compte, et dans la version 2.0, c'est-à-dire Q2 et Q3, nous la mettrons à jour à nouveau. Je pense personnellement qu'il y a certains problèmes avec l'utilisation des comptes EOA comme méthode de gestion des actifs, donc un moyen plus sûr est d'utiliser pleinement les comptes EUA et les comptes de contrats intelligents et d'utiliser les clés privées uniquement à des fins de signature. De plus, c'est un moyen plus raisonnable de séparer les actifs et les opérations. Les portefeuilles matériels et les portefeuilles logiciels peuvent améliorer la sécurité des clés privées. C'est un moyen plus sûr de mettre la sécurité des fonds dans les contrats intelligents. Dans le système de compte, nous utiliserons la solution MPC pour diviser la clé privée en trois parties afin d'augmenter la sécurité. (Par exemple, si votre propre clé privée est divulguée, ou si la clé privée de la plateforme est divulguée, vous ne pourrez pas terminer le processus de signature. Parce qu'une autre partie est donnée à l'agence de sécurité.)

Les comptes de contrats intelligents sont divisés en comptes sociaux et comptes virtuels. Les comptes sociaux utilisent le protocole ERC-6551 pour stocker les actifs sociaux et peuvent effectuer une multi-signature et une vérification pendant le processus d'interaction. (Lorsque vous négociez, si une clé privée est divulguée, vous pouvez modifier votre clé privée sans perdre la totalité de vos actifs.) Un autre compte virtuel populaire ERC-4337. Bien qu'il n'y ait pas beaucoup de scénarios d'utilisation à l'heure actuelle, les comptes virtuels sont une tendance de développement potentielle qui rendra progressivement le système de compte intelligent. À l'heure actuelle, nous utilisons principalement ERC-6551 pour prendre en charge la contractualisation intelligente de vos comptes sociaux.

Le deuxième est la sécurité du processus d’interaction :

Nous avons constaté que davantage de pertes d'actifs se produisaient au niveau de la couche d'interaction. C'est pourquoi, dans PoPP 2.0, nous allons publier un plug-in social qui peut accéder aux informations sur les parties du projet. Lors de l'interaction, notre plug-in social identifiera les projets qui doivent être ajoutés à la liste blanche pour les frais d'autorisation et émettra des alertes précoces. De plus, grâce à l'identifiant DEID intégré et aux plug-ins, nous fournissons une couche d'isolement dans le processus d'interaction pour protéger les actifs des utilisateurs et la sécurité de l'identité sociale.

Enfin, notre source d'informations IA : PoPP coopérera avec les parties du projet de sécurité et les parties de données pour divulguer les informations de liste blanche et de liste noire afin d'aider les utilisateurs à obtenir des informations de sécurité. Grâce à ces trois niveaux, nous nous engageons à assurer la sécurité des actifs et de l'expérience sociale des utilisateurs. Merci de votre écoute.

Cet article est tiré d'Internet : les vols de cryptomonnaies sont fréquents. Que devons-nous savoir sur la protection des cryptoactifs ?

En relation : Manuel de Pump PVP : Scythe et Leek favorisent l'évolution mutuelle

Avant que Pump.fun ne devienne populaire, les investisseurs de Solana Meme étaient principalement des War Gods 10u pour des raisons de sécurité afin d'empêcher les opérations Rug telles que DEV de supprimer des liquidités. En mars, influencés par BOME et SLERF, des pools de jetons Meme très importants ont commencé à devenir populaires sur Solana, mais ils ont également atteint à nouveau un point de congélation en raison de facteurs tels que le ralentissement général du marché et le nombre croissant d'incidents incontrôlables. Depuis lors, Pump a pris le relais - des méthodes d'ouverture pratiques et une approbation sécurisée des jetons ont rendu les jetons Meme à nouveau populaires sur Solana. Influencé par l'attaque, Pump.fun a lancé un événement sans frais de 7 jours. Le nombre de nouveaux jetons sur Solana a continué d'établir de nouveaux sommets historiques, avec plus de 20 000 nouveaux jetons ajoutés quotidiennement. Cependant,…