Avec l'expansion continue de l'écosystème off-chain, les transactions off-chain sont devenues une opération quotidienne indispensable pour les utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, cette tendance signifie également que la responsabilité de la sécurité des actifs passe des plateformes aux utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un Portefeuille, accéder à une DApp, ou signer des autorisations et initier des transactions, chaque signature aveugle ou erreur de manipulation peut devenir une vulnérabilité de sécurité, entraînant des conséquences graves telles que la fuite de Clé privée, l'abus d'autorisation ou des attaques de phishing.
Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctionnalités telles que la détection de phishing et des alertes de risque, il est toujours difficile d'éviter complètement les risques en se reposant uniquement sur des défenses passives des outils face à des méthodes d'attaque de plus en plus complexes. Afin d'aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions on-chain, notre équipe de sécurité a, sur la base de son expérience pratique, dressé une liste des scénarios de risque fréquents tout au long du processus, et a élaboré un ensemble de recommandations de protection et de conseils d'utilisation des outils. Cela a conduit à l'élaboration d'un guide systématique de sécurité pour les transactions on-chain, aidant chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Principes fondamentaux du commerce sécurisé :
Refuser de signer à l'aveugle : ne signez jamais des transactions ou des messages que vous ne comprenez pas.
Vérification répétée : Avant d'effectuer toute transaction, il est impératif de vérifier plusieurs fois l'exactitude des informations pertinentes.
Une|Conseils pour des transactions sécurisées
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation d'un portefeuille sécurisé et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Voici des conseils spécifiques :
Utiliser un portefeuille sécurisé :
Choisissez des fournisseurs de portefeuille réputés, tels que des portefeuilles matériels comme Ledger ou Trezor, ou des portefeuilles logiciels comme Metamask. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, et conviennent au stockage de gros actifs.
Vérifiez à nouveau les détails de la transaction :
Avant de confirmer une transaction, vérifiez toujours l'adresse de réception, le montant et le réseau (par exemple, assurez-vous que vous utilisez la bonne chaîne, comme Ethereum ou BNB Chain, etc.), afin d'éviter des pertes dues à une erreur de saisie.
Activer la vérification en deux étapes (2FA) :
Si la plateforme d'échange ou le portefeuille prend en charge la 2FA, assurez-vous de l'activer pour renforcer la sécurité de votre compte, surtout lors de l'utilisation d'un portefeuille.
Évitez d'utiliser le Wi-Fi public :
Ne pas effectuer de transactions sur un réseau Wi-Fi public pour éviter les attaques de phishing et les attaques de l'homme du milieu.
Deux|Comment effectuer des transactions sécurisées
Un processus de transaction DApp complet comprend plusieurs étapes : installation du portefeuille, accès à la DApp, connexion au portefeuille, signature des messages, signature des transactions, traitement post-transaction. Chaque étape présente certains risques de sécurité, voici les points à considérer lors des opérations réelles.
Remarque : Cette fois, nous nous concentrerons sur le processus d’interaction sécurisée sur Ethereum et chaque chaîne compatible EVM, et les outils et les détails techniques spécifiques utilisés par d’autres chaînes non EVM peuvent être différents.
1: Installation du portefeuille :
Actuellement, la méthode d'utilisation principale des DApp est d'interagir via des portefeuilles de plugin de navigateur. Les portefeuilles dominants utilisés sur les chaînes EVM incluent MetaMask, entre autres.
Lors de l'installation du portefeuille d'extension Chrome, il est nécessaire de confirmer le téléchargement et l'installation depuis le Chrome Web Store, afin d'éviter l'installation de logiciels de portefeuille avec des portes dérobées provenant de sites tiers. Les utilisateurs disposant de moyens recommandent d'utiliser un portefeuille matériel en combinaison pour améliorer la sécurité globale concernant la gestion des clés privées.
Lors de l'installation de la phrase de récupération du portefeuille (généralement une phrase de 12 à 24 mots), il est recommandé de la conserver dans un endroit sûr, loin des appareils numériques (par exemple, en l'écrivant sur papier et en la conservant dans un coffre-fort).
2: Accéder au DApp
Le phishing est une méthode courante d'attaque dans le Web3. Un cas typique consiste à inciter les utilisateurs à visiter une application DApp de phishing sous le prétexte d'un airdrop, puis à les inciter à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils ont connecté leur portefeuille, entraînant une perte d'actifs.
Ainsi, lors de l'accès au DApp, les utilisateurs doivent rester vigilants pour éviter de tomber dans les pièges de phishing.
Avant d'accéder au DApp, vous devez confirmer l'exactitude de l'URL. Conseil :
Évitez d'accéder directement via des moteurs de recherche : les attaquants par phishing peuvent faire en sorte que leur site de phishing soit mieux classé en achetant des espaces publicitaires.
Évitez de cliquer sur les liens dans les réseaux sociaux : les URL publiées dans les commentaires ou les messages peuvent être des liens de phishing.
Vérifier à plusieurs reprises l'exactitude de l'URL du DApp : cela peut être vérifié par des marchés de DApp tels que DefiLlama, ainsi que par les comptes de médias sociaux officiels des projets.
Ajouter un site web sécurisé aux favoris du navigateur : accéder directement depuis les favoris par la suite.
Après avoir ouvert la page web du DApp, il est également nécessaire de procéder à une vérification de sécurité de la barre d'adresse :
Vérifiez si le nom de domaine et l'URL ressemblent à une contrefaçon.
Vérifiez si c'est un lien HTTPS, le navigateur doit afficher un cadenas.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Off-chain interactivité zéro erreur, guide de sécurité des transactions Web3 à conserver
Avec l'expansion continue de l'écosystème off-chain, les transactions off-chain sont devenues une opération quotidienne indispensable pour les utilisateurs de Web3. Les actifs des utilisateurs migrent rapidement des plateformes centralisées vers des réseaux décentralisés, cette tendance signifie également que la responsabilité de la sécurité des actifs passe des plateformes aux utilisateurs eux-mêmes. Dans un environnement off-chain, les utilisateurs doivent être responsables de chaque interaction, que ce soit pour importer un Portefeuille, accéder à une DApp, ou signer des autorisations et initier des transactions, chaque signature aveugle ou erreur de manipulation peut devenir une vulnérabilité de sécurité, entraînant des conséquences graves telles que la fuite de Clé privée, l'abus d'autorisation ou des attaques de phishing.
Bien que les plugins de portefeuille et les navigateurs dominants intègrent progressivement des fonctionnalités telles que la détection de phishing et des alertes de risque, il est toujours difficile d'éviter complètement les risques en se reposant uniquement sur des défenses passives des outils face à des méthodes d'attaque de plus en plus complexes. Afin d'aider les utilisateurs à identifier plus clairement les points de risque potentiels dans les transactions on-chain, notre équipe de sécurité a, sur la base de son expérience pratique, dressé une liste des scénarios de risque fréquents tout au long du processus, et a élaboré un ensemble de recommandations de protection et de conseils d'utilisation des outils. Cela a conduit à l'élaboration d'un guide systématique de sécurité pour les transactions on-chain, aidant chaque utilisateur de Web3 à construire une ligne de défense "autonome et contrôlable".
Principes fondamentaux du commerce sécurisé :
Une|Conseils pour des transactions sécurisées
Les transactions sécurisées sont essentielles pour protéger les actifs numériques. Des études montrent que l'utilisation d'un portefeuille sécurisé et de l'authentification à deux facteurs (2FA) peut réduire considérablement les risques. Voici des conseils spécifiques :
Choisissez des fournisseurs de portefeuille réputés, tels que des portefeuilles matériels comme Ledger ou Trezor, ou des portefeuilles logiciels comme Metamask. Les portefeuilles matériels offrent un stockage hors ligne, réduisant ainsi le risque d'attaques en ligne, et conviennent au stockage de gros actifs.
Avant de confirmer une transaction, vérifiez toujours l'adresse de réception, le montant et le réseau (par exemple, assurez-vous que vous utilisez la bonne chaîne, comme Ethereum ou BNB Chain, etc.), afin d'éviter des pertes dues à une erreur de saisie.
Si la plateforme d'échange ou le portefeuille prend en charge la 2FA, assurez-vous de l'activer pour renforcer la sécurité de votre compte, surtout lors de l'utilisation d'un portefeuille.
Ne pas effectuer de transactions sur un réseau Wi-Fi public pour éviter les attaques de phishing et les attaques de l'homme du milieu.
Deux|Comment effectuer des transactions sécurisées
Un processus de transaction DApp complet comprend plusieurs étapes : installation du portefeuille, accès à la DApp, connexion au portefeuille, signature des messages, signature des transactions, traitement post-transaction. Chaque étape présente certains risques de sécurité, voici les points à considérer lors des opérations réelles.
Remarque : Cette fois, nous nous concentrerons sur le processus d’interaction sécurisée sur Ethereum et chaque chaîne compatible EVM, et les outils et les détails techniques spécifiques utilisés par d’autres chaînes non EVM peuvent être différents.
1: Installation du portefeuille :
Actuellement, la méthode d'utilisation principale des DApp est d'interagir via des portefeuilles de plugin de navigateur. Les portefeuilles dominants utilisés sur les chaînes EVM incluent MetaMask, entre autres.
Lors de l'installation du portefeuille d'extension Chrome, il est nécessaire de confirmer le téléchargement et l'installation depuis le Chrome Web Store, afin d'éviter l'installation de logiciels de portefeuille avec des portes dérobées provenant de sites tiers. Les utilisateurs disposant de moyens recommandent d'utiliser un portefeuille matériel en combinaison pour améliorer la sécurité globale concernant la gestion des clés privées.
Lors de l'installation de la phrase de récupération du portefeuille (généralement une phrase de 12 à 24 mots), il est recommandé de la conserver dans un endroit sûr, loin des appareils numériques (par exemple, en l'écrivant sur papier et en la conservant dans un coffre-fort).
2: Accéder au DApp
Le phishing est une méthode courante d'attaque dans le Web3. Un cas typique consiste à inciter les utilisateurs à visiter une application DApp de phishing sous le prétexte d'un airdrop, puis à les inciter à signer des autorisations de jetons, des transactions de transfert ou des signatures d'autorisation de jetons après qu'ils ont connecté leur portefeuille, entraînant une perte d'actifs.
Ainsi, lors de l'accès au DApp, les utilisateurs doivent rester vigilants pour éviter de tomber dans les pièges de phishing.
Avant d'accéder au DApp, vous devez confirmer l'exactitude de l'URL. Conseil :
Après avoir ouvert la page web du DApp, il est également nécessaire de procéder à une vérification de sécurité de la barre d'adresse :