MENTION LÉGALE

Ce guide ne peut garantir quoi que ce soit et n'est pas rédigé du point de vue d'un "expert en crypto ou en cybersécurité".

C'est le fruit d'un apprentissage continu provenant de multiples sources et de l'expérience personnelle.

Par exemple, j'ai moi-même été victime d'arnaques liées à la FOMO et à la cupidité très tôt (escroquerie de fausse diffusion en direct et escroquerie de faux bot MEV) en entrant dans cet espace, alors j'ai pris le temps d'apprendre sérieusement, de mettre en place et de comprendre la sécurité.

Ne soyez pas la personne qui est forcée d'apprendre la sécurité parce que vous avez tout perdu ou une somme douloureusement importante.

HACK OU ERREUR UTILISATEUR?

Tous les types de piratages ou de compromissions de portefeuilles / jetons / NFT tombent généralement dans l'une des deux catégories :

1. Abus des approbations de jetons précédemment accordées.

2. Compromission de la clé privée/phrase de graine (généralement sur un portefeuille chaud).

AUTORISATIONS DE JETONS

Les approbations de jetons sont essentiellement une autorisation pour un contrat intelligent d'accéder et de déplacer un type ou un montant spécifique d'un jeton depuis votre portefeuille.

Par exemple :

1. Donner à OpenSea la permission de déplacer votre NFT afin que vous puissiez le vendre.
2. Accorder à Uniswap la permission d'accéder à vos jetons afin que vous puissiez effectuer un échange.
   \
   Si vous souhaitez des informations supplémentaires sur les approbations de jetons,vous pouvez lire ce fil ici.

Pour un peu de précontexte, fondamentalement tout sur le réseau Ethereum, À L'EXCEPTION de l'ETH est un jeton ERC-20.

Une des propriétés des jetons ERC-20 est la capacité de donner des autorisations d'approbation à d'autres contrats intelligents.

Ces approbations sont nécessaires à un moment donné si vous souhaitez jamais effectuer des interactions DeFi de base telles que l'échange ou le pontage de jetons.

Les NFT respectifs sont des jetons ERC-721 et 1155; leurs mécanismes d'approbation fonctionnent de manière similaire aux ERC-20 mais pour les places de marché NFT.

La demande d'approbation initiale de jeton de MetaMask (MM) vous donne plusieurs informations, mais les plus pertinentes sont :

• le jeton pour lequel vous donnez votre approbation

• le site avec lequel vous interagissez

• le contrat intelligent avec lequel vous interagissez

• la capacité de modifier le montant d'autorisation du jeton

Sous le menu déroulant des détails complets, nous voyons une pièce d'information supplémentaire : la fonction d'approbation.

Tous les jetons ERC-20 doivent avoir certaines caractéristiques et propriétés telles que définies par la norme ERC-20.

L'une d'entre elles est la capacité des contrats intelligents à déplacer des jetons en fonction du montant approuvé.

Le danger de ces approbations est que si vous accordez des autorisations de jetons à un contrat intelligent malveillant, vos actifs pourraient être volés/vidés.

AUTORISATIONS D'APPROBATION ILLIMITÉES VS PERSONNALISÉES (JETONS ERC-20)

De nombreuses applications DeFi demanderont par défaut une approbation illimitée du jeton ERC20.

Il s'agit d'améliorer l'expérience utilisateur car c'est plus pratique car cela ne nécessite pas de futures approbations potentielles, ce qui permet d'économiser du temps et des frais de gaz.

POURQUOI EST-CE IMPORTANT?

Autoriser une approbation pour une quantité illimitée de jetons met potentiellement vos fonds en danger.

Éditer manuellement l'approbation du jeton à un montant spécifique fixe le montant maximal de jetons que l'application décentralisée approuvée peut déplacer jusqu'à ce qu'une autre approbation soit signée pour un montant plus important.

Cela limite votre risque à la baisse si ce contrat intelligent est exploité. S'il y a une faille dans une dApp pour laquelle vous avez accordé des approbations illimitées, alors vous risquez de perdre tous les jetons approuvés provenant du portefeuille qui détient ces actifs et a accordé cette approbation.

Voir le Exploitation de Multichain WETH (WETH est un wrapper de jeton ERC-20 de ETH)par exemple.

Ce pont couramment utilisé a été exploité en abusant des autorisations de jetons illimitées pour prendre des fonds aux utilisateurs.

Un exemple (en utilisant le portefeuille Zerion) de passer des approbations illimitées par défaut aux approbations manuelles.

APPROBATIONS NFT

"setApprovalForAll" pour les NFTs

Il s'agit d'une approbation couramment utilisée, mais potentiellement dangereuse, généralement accordée aux places de marché NFT de confiance lorsque vous souhaitez vendre votre NFT.

Cela permet à l'NFT d'être transférable par le contrat intelligent d'un marché. Ainsi, lorsque vous vendez un NFT à un acheteur, le contrat intelligent de ce marché peut déplacer automatiquement l'NFT vers l'acheteur.

Cette approbation accorde l'accès à tous les jetons NFT d'une collection/adresse de contrat spécifique.

Cela peut également être utilisé par des sites Web/contrats malveillants pour voler vos NFT.

EXEMPLE D'UN ACTEUR MALVEILLANT ABUSANT DE "SETAPPROVALFORALL"

Le classique 'vidage de portefeuille' pour une situation de mint FOMO gratuite se déroule ainsi :

L'utilisateur se rend sur un site Web malveillant qu'il croit légitime.

Lorsqu’ils connectent leur portefeuille à un site Web, le site Web ne peut voir que le contenu du portefeuille.

Cependant, ils l'utilisent pour scanner le portefeuille à la recherche des NFT de la plus grande valeur et inciter MM à donner son approbation pour tous les NFT de cette adresse de contrat.

L'utilisateur pense qu'il est en train de créer de nouvelles pièces, mais en réalité, il donne l'autorisation au contrat malveillant de déplacer ces jetons.

L'escroc vole ensuite les jetons et les liquide dans des offres ouvertes OS ou Blur avant que l'article ne soit marqué comme volé.

SIGNATURES VS APPROBATIONS

Les approbations NÉCESSITENT du gaz, car elles traitent une transaction.

Les signatures sont sans gaz et sont souvent utilisées pour se connecter aux dApps afin de prouver que vous contrôlez le portefeuille respectif.

Les signatures sont généralement des actions à plus faible risque, mais elles peuvent encore être utilisées pour exploiter les approbations précédemment données pour des sites de confiance comme OpenSea.

Il est également possible (pour les ERC-20) de modifier vos approbations avec une signature sans gaz en raison de fonctions de permis récemment introduites sur ETH.

Cela peut être vu si vous utilisez un DEX comme 1inch.

Une lecture de ceci en détail plusici.

OBTENTION D'APPROBATION DE JETONS

Soyez prudent chaque fois que vous donnez des approbations pour quoi que ce soit, assurez-vous de savoir pour quels jetons vous donnez l'approbation et à quel contrat intelligent (utilisez etherscan.)

Limitez votre risque aux approbations:

1. Utilisez plusieurs portefeuilles (les approbations sont spécifiques au portefeuille) - ne signez pas les approbations pour votre coffre-fort/portefeuille de grande valeur.
2. Idéalement, réduisez ou évitez complètement d'accorder des approbations illimitées pour les jetons ERC-20.
3. Vérifiez et révoquez périodiquement les approbations via etherscan ou revoke.cash.

Revoke.cash est un site web qui vous permet de révoquer facilement différentes autorisations de jetons.

PORTEFEUILLES MATÉRIEL/À FROID

Les portefeuilles chauds sont connectés à Internet via votre ordinateur ou votre téléphone. Les clés/identifiants de portefeuille sont stockés en ligne ou localement dans votre navigateur.

Les portefeuilles froids sont des appareils matériels où la clé est générée et stockée PUREMENT hors ligne et physiquement près de vous.

Étant donné qu'un ledger coûte environ 120 $, si vous avez plus de 1000 $ d'actifs en crypto, vous devriez probablement acheter et configurer un Ledger. Vous pouvez connecter (sans importer) vos portefeuilles ledger dans votre MM pour bénéficier de la même fonctionnalité qu'un autre portefeuille en ligne tout en maintenant un niveau de sécurité.

Ledger et Trezor sont les plus populaires. J'aime Ledger car il est le plus compatible avec les portefeuilles de navigateur (similaires à Rabby et MM).

MEILLEURES PRATIQUES LORS DE L'ACHAT D'UN LEDGER

Achetez toujours sur le site officiel du fabricant, n’achetez PAS sur Ebay ou Amazon = logiciels malveillants potentiellement compromis / préchargés.

Assurez-vous que l'emballage est scellé lorsque vous recevez l'article.

Lorsque vous configurez le ledger pour la première fois, il générera une phrase de récupération.

ÉCRIVEZ UNIQUEMENT la graine sur du papier PHYSIQUE, ou sur une plaque d'acier à une date ultérieure afin que votre phrase de graine soit ignifuge et étanche.

NE PRENEZ JAMAIS une photo ou ne saisissez jamais la graine dans n'importe quel type de clavier (y compris les téléphones) cela revient à numériser la graine et votre portefeuille « froid » devient désormais un portefeuille « chaud » non sécurisé.

Les crypto ne sont pas exactement stockées sur le portefeuille matériel mais "à l'intérieur" du portefeuille généré par la phrase de récupération.

La phrase de récupération (12-24 mots) est ESSENTIELLE, elle doit être protégée/sécurisée à tout prix.

Il donne un contrôle total / accès à TOUS les portefeuilles générés sous cette phrase de départ.

La graine n'est pas spécifique à l'appareil, vous pouvez l'"importer" dans un autre portefeuille matériel comme sauvegarde si nécessaire.

Si la graine est perdue/détruite et que le portefeuille matériel d'origine est perdu/détruit/bloqué = perte permanente de l'accès à TOUS vos actifs.

Il existe différents niveaux de stockage de niveau seed, tels que la division en plusieurs parties, l'ajout d'une distance physique entre les parties, le stockage dans des endroits non évidents (une boîte de conserve au fond du congélateur, quelque part sous terre sur votre propriété, etc.)

Vous devriez avoir au minimum 2-3 copies, dont une en acier pour vous protéger contre l'eau et le feu.

Une "clé privée" est comme une phrase de départ, mais uniquement pour 1 portefeuille spécifique. Elle est généralement utilisée pour importer des portefeuilles chauds dans un nouveau compte MM ou dans des outils d'automatisation comme des robots de trading.

LE 25 MOT - LEDGER

En plus de la graine originale de 24 mots, Ledger dispose d'une fonction de sécurité supplémentaire facultative.

Le Phrase secrète est une fonctionnalité avancée qui ajoute un 25e mot de votre choix de 100 caractères maximum à votre phrase de récupération.

L'utilisation d'une phrase secrète entraînera la création d'un ensemble entièrement différent d'adresses qui ne pourront pas être accessibles uniquement via la phrase de récupération de 24 mots.

En plus d'ajouter une autre couche, le mot de passe vous donne une possibilité de nier plausible lorsque vous êtes sous pression.

Si vous utilisez une phrase secrète, il est essentiel de la stocker en toute sécurité ou de la mémoriser parfaitement, caractère par caractère et sensible à la casse.

Il s'agit de la seule et dernière défense contre les situations d'attaque du « coup de clé de 5 dollars » où vous êtes physiquement menacé.

POURQUOI PASSER PAR TOUTE CETTE FRICTION POUR METTRE EN PLACE UN PORTEFEUILLE MATÉRIEL ?

Les portefeuilles chauds stockent les clés privées dans un emplacement connecté à Internet.

Il est trompeusement facile d'être trompé, trompé et manipulé pour révéler ces informations d'identification via Internet.

Avoir un portefeuille froid signifie qu'un escroc devrait physiquement trouver et prendre votre ledger ou votre seed pour avoir accès à ces portefeuilles et aux actifs qu'ils contiennent.

La graine compromis = tous les portefeuilles actifs et les actifs qu'ils contiennent sont à risque, même ceux qui n'ont pas interagi avec le site/contrat malveillant.

LES METHODES COURANTES UTILISÉES DANS LE PASSÉ POUR PIRATER LES GENS

Les méthodes courantes utilisées par le passé pour pirater les portefeuilles chauds (compromission de la phrase de récupération) des utilisateurs.

1. Trompé en téléchargeant des logiciels malveillants via des offres d'emploi en PDF, des jeux de "test bêta", en exécutant des macros via google sheets, en imitant des sites et services légitimes.

2. Interagir avec des contrats malveillants : FOMO minting à partir d'un site mimétique, interagir avec un contrat provenant de NFTs airdropés/reçus inconnus.

3. Insérer ou envoyer des clés & des seeds au "service client" ou à un programme/formulaire connexe.

EXEMPLES ET ANALYSE DE PIRATAGES DE GRANDE ENVERGURE

Kevin Rose: Est allé pour créer une collection (art block), a signé une transaction de signature (sans frais de gaz) en pensant qu'il se connectait simplement au site de création.

Mais Seaport (nouveau contrat de marché OpenSea) vous permet de créer des commandes personnalisées que vous pouvez ensuite accepter avec juste une signature.

Puisque Kevin avait déjà accordé des approbations pour ses actifs au contrat OpenSea, le pirate l'a trompé en signant une signature qui a satisfait une commande personnalisée pour vendre tous les NFT coûteux de Kevin gratuitement / ~ 1 $ au pirate.

Points clés à retenir:

Les signatures peuvent également faire l’objet d’abus si elles tirent parti d’approbations précédemment accordées, même si cette approbation a été accordée à une source fiable

Ne signez pas les approbations OpenSea (OS) sur des sites Web autres que OS, n'interagissez pas avec les contrats ou le site Web si vous avez un portefeuille «grail/main vault», envoyez-le à un portefeuille intermédiaire, puis interagissez.

NFT_GOD: a utilisé l'option d'importation de compte (par opposition à l'ajout de portefeuille matériel) de MetaMask et a saisi sa phrase de récupération dans MetaMask lors de la configuration de son ledger.

Cela a effectivement transformé son portefeuille froid en un portefeuille chaud - rappelez-vous la règle d'or précédente de ne jamais numériser votre phrase de récupération.

Il a ensuite apparemment téléchargé un faux OBS (logiciel d'enregistrement) appelé ODS, qui était promu comme une annonce en haut des résultats de recherche Google.

Il s'agissait d'un logiciel malveillant, il a donc volé la phrase de récupération, puis a volé tous les actifs de ses portefeuilles chauds, et donc aussi ses portefeuilles froids.

Principale conclusion :

NE JAMAIS « numériser » votre phrase de récupération de quelque manière que ce soit = en la tapant dans n’importe quelle forme de clavier (téléphone également) ou en prenant une photo (la sauvegarde automatique vers les services cloud a également compromis les gens.)

Avertissement :

1. Cet article est repris de [Insiders perspicaces], Transférer le titre original 'Comment ne plus jamais se faire arnaquer dans le monde de la crypto', tous les droits d'auteur appartiennent à l'auteur original [ÉCLAIRANT]. S'il y a des objections à cette réimpression, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.

2. Clause de non-responsabilité: Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.

3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.