Guide de sécurité des transactions en chaîne pour les utilisateurs de Web3 : protection complète du portefeuille à DApp

Guide de sécurité des transactions pour les utilisateurs de Web3

Avec le développement continu des réseaux décentralisés, les transactions sur la chaîne sont devenues une partie intégrante de la vie quotidienne des utilisateurs de Web3. De plus en plus d'utilisateurs transfèrent leurs actifs des plateformes centralisées vers des réseaux décentralisés, ce qui signifie que la responsabilité de la sécurité des actifs passe des plateformes aux utilisateurs eux-mêmes. Dans un environnement sur la chaîne, les utilisateurs doivent être responsables de chaque étape de l'opération, y compris l'importation de portefeuilles, l'accès aux DApps, la signature d'autorisations et l'initiation de transactions. Chaque opération imprudente peut devenir un risque de sécurité, entraînant des conséquences graves telles que la fuite de clés privées, l'abus d'autorisations ou des attaques de phishing.

Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctions de détection de phishing et d'alerte aux risques, il est encore difficile de se prémunir complètement contre les risques face à la complexité croissante des méthodes d'attaque. Pour aider les utilisateurs à mieux identifier les risques potentiels dans les transactions sur la chaîne, notre équipe de sécurité a compilé, sur la base de l'expérience pratique, des scénarios à haut risque tout au long du processus, et a élaboré un ensemble complet de directives de sécurité pour les transactions sur la chaîne, en y intégrant des recommandations de protection et des conseils sur l'utilisation des outils, afin d'aider chaque utilisateur de Web3 à établir une ligne de défense "autonome et contrôlable".

Aucune erreur dans les interactions sur la chaîne, veuillez conserver le guide de sécurité des transactions Web3

Principes fondamentaux du trading sécurisé

  • Refuser de signer à l'aveugle : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
  • Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.

Conseils de négociation sécurisés

La clé pour protéger la sécurité des actifs numériques réside dans les transactions sécurisées. Des études montrent que l'utilisation de portefeuilles sécurisés et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Les recommandations spécifiques sont les suivantes :

  1. Choisissez un portefeuille sécurisé : Privilégiez les fournisseurs de portefeuilles réputés, tels que les portefeuilles matériels ou les portefeuilles logiciels bien connus. Les portefeuilles matériels offrent une fonction de stockage hors ligne, réduisant efficacement le risque d'attaques en ligne, ce qui les rend particulièrement adaptés au stockage d'actifs importants.

  2. Vérifiez attentivement les détails de la transaction : Avant de confirmer la transaction, assurez-vous de vérifier l'adresse de réception, le montant et les informations réseau, afin d'éviter les pertes dues à des erreurs de saisie.

  3. Activer la vérification en deux étapes (2FA) : Il est fortement recommandé d'activer la 2FA si la plateforme d'échange ou le portefeuille le supporte, afin d'améliorer la sécurité du compte, surtout lors de l'utilisation d'un portefeuille chaud.

  4. Évitez d'utiliser le Wi-Fi public : Ne faites pas de transactions sur des réseaux Wi-Fi publics pour éviter les attaques de phishing et les attaques de l'homme du milieu.

Aucune erreur dans les interactions sur la blockchain, veuillez conserver le guide de sécurité pour les transactions Web3

Guide de fonctionnement des transactions sécurisées

Un processus de transaction DApp complet comprend généralement les étapes suivantes : installation du portefeuille, accès à la DApp, connexion du portefeuille, signature de message, signature de transaction et traitement post-transaction. Chaque étape présente certains risques de sécurité, et les points d'attention de chaque étape seront détaillés ci-dessous.

1. Installation du portefeuille

Actuellement, le principal moyen d'interagir avec les DApps est via un portefeuille de navigateur. Lors de l'installation d'un portefeuille d'extension Chrome, assurez-vous de le télécharger depuis la boutique d'applications officielle, afin d'éviter d'installer des logiciels de portefeuille avec des portes dérobées provenant de sites tiers. Les utilisateurs dont les conditions le permettent sont conseillés d'utiliser également un portefeuille matériel pour améliorer davantage la sécurité de la gestion des clés privées.

Lors de la sauvegarde de la phrase de graine du portefeuille, il est conseillé de la conserver dans un endroit physique sûr, loin des appareils numériques, par exemple en l'écrivant sur papier et en la rangeant dans un coffre-fort.

2. Accéder à DApp

Le phishing est une méthode courante d'attaque dans le Web3. Pour éviter de tomber dans les pièges de phishing, les utilisateurs doivent rester très vigilants lorsqu'ils accèdent aux DApps.

Avant d'accéder à un DApp, vous devez confirmer soigneusement l'exactitude de l'URL. Conseils :

  • Évitez d'accéder directement via les moteurs de recherche
  • Cliquez avec prudence sur les liens dans les réseaux sociaux
  • Vérifier l'exactitude de l'URL du DApp auprès de plusieurs sources.
  • Ajouter un site Web sécurisé aux favoris du navigateur

Après avoir ouvert la page DApp, vous devez également effectuer une vérification de sécurité dans la barre d'adresse :

  • Vérifiez si le nom de domaine et l'URL présentent des cas de contrefaçon.
  • Confirmez s'il s'agit d'un lien HTTPS, le navigateur doit afficher l'icône de verrou

3. Connecter le portefeuille

Après être entré dans le DApp, il se peut que vous deviez cliquer automatiquement ou manuellement pour connecter votre portefeuille. Le portefeuille en tant que plugin effectuera certaines vérifications et affichera des informations concernant le DApp actuel.

Normalement, après avoir connecté le portefeuille, le DApp ne devrait pas demander fréquemment des signatures ou des transactions. Si des demandes de signature apparaissent fréquemment, il pourrait s'agir d'un site de phishing, il faut donc faire preuve de prudence.

4. Signature du message

Même dans des situations extrêmes, comme une attaque sur le site officiel ou une prise de contrôle du front-end, il est très difficile pour les utilisateurs ordinaires de reconnaître la sécurité d'un site Web. À ce moment-là, la signature du portefeuille d'extension devient la dernière ligne de défense pour protéger les actifs des utilisateurs. Tant que les signatures malveillantes sont rejetées, les pertes d'actifs peuvent être évitées.

Les utilisateurs doivent examiner attentivement le contenu de la signature lorsqu'ils signent des messages et des transactions, et refuser de signer aveuglément. Les types de signatures courants incluent :

  • eth_sign : signer des données hachées
  • personal_sign : signature des informations en texte clair, souvent utilisée pour la vérification de connexion des utilisateurs ou la confirmation de protocole.
  • eth_signTypedData (EIP-712) : signature de données structurées, couramment utilisé pour le Permis ERC20, les ordres NFT, etc.

5. Signature de la transaction

La signature de transaction est utilisée pour autoriser les transactions sur la blockchain, telles que les transferts ou l'appel de contrats intelligents. Les utilisateurs signent avec leur clé privée, et le réseau vérifie la validité de la transaction. De nombreux portefeuilles de plugins déchiffrent les messages à signer et affichent le contenu pertinent, il est impératif que les utilisateurs respectent le principe de ne pas signer aveuglément. Conseils de sécurité :

  • Vérifiez soigneusement l'adresse du destinataire, le montant et le réseau pour éviter les erreurs.
  • Il est conseillé d'utiliser une signature hors ligne pour les transactions de gros montants afin de réduire le risque d'attaques en ligne.
  • Faites attention aux frais de gaz, assurez-vous qu'ils sont raisonnables et prévenez les arnaques.

Pour les utilisateurs ayant une bonne base technique, il est possible de vérifier l'adresse du contrat cible d'interaction via un explorateur de blockchain, y compris vérifier si le contrat est open source, s'il y a eu un grand nombre de transactions récemment, ainsi que s'il y a des labels officiels ou malveillants, etc.

6. Traitement après la transaction

Même si vous parvenez à éviter les pages de phishing et les signatures malveillantes, il est toujours nécessaire de gérer les risques après la transaction.

Après la transaction, il est important de vérifier rapidement l'état de la chaîne de la transaction pour confirmer s'il est conforme aux attentes au moment de la signature. En cas d'anomalie, il est nécessaire de prendre immédiatement des mesures de protection telles que le transfert d'actifs ou la révocation des autorisations.

La gestion des autorisations ERC20 est également très importante. Il est recommandé aux utilisateurs de suivre les normes suivantes pour la prévention des risques :

  • Autorisation minimale : autoriser un nombre limité de jetons en fonction des besoins de transaction, afin d'éviter l'utilisation d'autorisation illimitée.
  • Révoquez rapidement les autorisations de jetons non nécessaires : vérifiez régulièrement et révoquez les autorisations de protocole qui n'ont pas été utilisées depuis longtemps, afin d'éviter que des vulnérabilités de protocole ne causent des pertes d'actifs.

Aucune erreur dans les interactions sur la chaîne, veuillez conserver le guide de transaction sécurisée Web3

Stratégie d'isolement des fonds

Même si vous êtes conscient des risques et avez pris des mesures de prévention suffisantes, il est conseillé de mettre en œuvre une isolation efficace des fonds afin de réduire le risque de perte de fonds dans des situations extrêmes. Les stratégies recommandées sont les suivantes :

  • Utiliser un portefeuille multi-signature ou un portefeuille froid pour stocker des actifs importants
  • Utiliser un portefeuille de plugin ou un portefeuille EOA pour des interactions quotidiennes
  • Changer régulièrement l'adresse du portefeuille chaud pour réduire l'exposition de l'adresse à un environnement à risque.

Si vous êtes victime d'une attaque de phishing, il est conseillé de prendre immédiatement les mesures suivantes pour réduire les pertes :

  • Utilisez les outils concernés pour annuler les autorisations à haut risque
  • Si la signature du permit a été signée mais que les actifs n'ont pas encore été transférés, initiez immédiatement une nouvelle signature pour invalider l'ancienne.
  • Si nécessaire, transférez rapidement les actifs restants vers une nouvelle adresse ou un portefeuille froid.

Participer en toute sécurité aux activités de distribution gratuite

L'airdrop est une méthode courante de promotion des projets blockchain, mais il existe également des risques potentiels. Voici quelques conseils :

  • Recherche de contexte du projet : s'assurer que le projet dispose d'un livre blanc clair, d'informations publiques sur l'équipe et d'une bonne réputation au sein de la communauté.
  • Utiliser une adresse dédiée : enregistrez un portefeuille et un e-mail dédiés, isolant ainsi le risque du compte principal.
  • Cliquez avec prudence sur les liens : obtenez des informations sur les airdrops uniquement par des canaux officiels, évitez de cliquer sur des liens suspects sur les plateformes sociales.

Choix et recommandations d'utilisation des outils de plugin

Choisir des outils de plugin sûrs est crucial pour aider à évaluer les risques, les recommandations spécifiques sont les suivantes :

  • Utilisez des extensions de confiance : choisissez des extensions de navigateur populaires et bien notées.
  • Vérifiez la note : Avant d'installer un nouveau plugin, consultez la note des utilisateurs et le nombre d'installations. Une haute note et un grand nombre d'installations indiquent généralement que le plugin est plus fiable.
  • Restez à jour : Mettez régulièrement à jour les plugins pour bénéficier des dernières fonctionnalités de sécurité et corrections, les plugins obsolètes peuvent présenter des vulnérabilités connues.

Conclusion

En suivant les directives de sécurité des transactions ci-dessus, les utilisateurs peuvent interagir plus sereinement dans un écosystème blockchain complexe, améliorant ainsi efficacement leur capacité de protection des actifs. Bien que la technologie blockchain ait pour principaux avantages la décentralisation et la transparence, cela signifie également que les utilisateurs doivent faire face de manière autonome à de multiples risques, y compris le phishing par signature, la fuite de clés privées et les DApps malveillants.

Pour réaliser une véritable sécurité sur la blockchain, il ne suffit pas de se fier uniquement aux outils d'alerte. Établir une conscience systématique de la sécurité et des habitudes opérationnelles est la clé. En utilisant des portefeuilles matériels, en mettant en œuvre des stratégies d'isolement des fonds, en vérifiant régulièrement les autorisations et en mettant à jour les plugins, ainsi qu'en intégrant dans les opérations de transaction le principe de "vérification multiple, refus de signature aveugle, isolement des fonds", on peut vraiment parvenir à "se connecter à la blockchain librement et en toute sécurité".

Aucune erreur d'interaction sur la chaîne, veuillez conserver le guide de transaction sécurisé Web3

Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • 6
  • Partager
Commentaire
0/400
ShibaMillionairen'tvip
· 07-14 05:43
Il vaut mieux regarder le marché que d'élever un grand chien !!!
Voir l'originalRépondre0
WagmiOrRektvip
· 07-11 19:14
chute麻了 自己的 actifs管不好还玩l'univers de la cryptomonnaie
Voir l'originalRépondre0
MEVHunterLuckyvip
· 07-11 19:12
Verrou de sécurité yyds !
Voir l'originalRépondre0
AirdropHarvestervip
· 07-11 19:12
Enseigner aux débutants des problèmes de sécurité, je l'ai dit plusieurs fois.
Voir l'originalRépondre0
gas_fee_therapyvip
· 07-11 19:00
En voyant tant de cas de victimes, on réalise à quel point on est chanceux.
Voir l'originalRépondre0
TokenEconomistvip
· 07-11 18:59
en fait, c'est un cas classique de dilemme principal-agent dans la crypto... les utilisateurs deviennent leur propre banque, mais aussi leur propre garde de sécurité smh
Voir l'originalRépondre0
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)