Rédigé par : Yue Xiaoyu
Souhaitez-vous vivre longtemps dans l’industrie des cryptomonnaies ? Il faut choisir le bon portefeuille, utiliser le bon portefeuille !
Le portefeuille est le produit d’infrastructure le plus important dans notre secteur, il ne faut pas le sous-estimer.
Les hackers ciblent principalement en période de marché baissier, avec d’abord le vieux portefeuille Trust Wallet, appartenant à Binance, qui a été piraté pour 7 millions de dollars, puis le robot de trading connu DeBot a également été victime d’une fuite.
En tant qu’utilisateur ordinaire, que devons-nous faire ?
En tant que chef de produit ayant plusieurs années d’expérience dans les portefeuilles, je partage ici quelques principes importants :
- Choisissez un portefeuille en vous concentrant sur les plateformes de premier plan, et surtout vérifiez s’il y a une garantie d’indemnisation !
Ce n’est pas que les portefeuilles de petites équipes ne peuvent pas être utilisés, mais des plateformes de premier plan comme Binance, OKX, Bitget, etc., disposent généralement d’un fonds de compensation dédié à la sécurité.
Comme cette fois où Trust Wallet a été piraté, l’équipe a clairement indiqué qu’elle indemniserait intégralement les pertes des utilisateurs via le fonds SAFU.
Mais les portefeuilles de petites équipes n’ont pas cette capacité de garantie, et si vous perdez de l’argent, il y a de fortes chances qu’il n’y ait aucune compensation.
Honnêtement, faire un portefeuille est une tâche difficile et fatigante, qui convient à des entreprises disposant de ressources et de compétences techniques.
Bien sûr, les gains sont aussi très intéressants, car cela permet de contrôler directement l’entrée du trafic utilisateur.
- La sécurité des portefeuilles en extension de navigateur est vraiment faible, ne déposez pas de grosses sommes !
Cette fois, c’est la version extension qui a été piratée, car la clé privée est stockée localement dans le navigateur, et les permissions entre extensions sont très interconnectées, ce qui facilite la modification ou le vol par du code malveillant ou des sites de phishing.
Les attaquants n’ont qu’à inciter l’utilisateur à visiter un site malveillant, puis exploiter une faille dans l’architecture de l’extension pour voler les actifs ;
Les applications (apps) nécessitent que l’utilisateur télécharge volontairement un package malveillant, ce qui est plus difficile pour l’attaquant.
Donc, un portefeuille en extension ne doit être utilisé que pour de petites transactions, avec juste assez de frais de gaz pour quelques interactions DApp.
- Évitez autant que possible d’utiliser des portefeuilles pseudo-décentralisés ou des outils de trading qui nécessitent la garde de la clé privée !
Cela concerne justement l’incident de vol de DeBot.
En tant que robot de trading connu, le problème principal de DeBot est que de nombreux utilisateurs confient leur clé privée à la plateforme pour des transactions automatisées et efficaces.
C’est très vulnérable aux attaques de sécurité, ce qui peut entraîner des pertes d’actifs.
Souvenez-vous, que ce soit un portefeuille ou un bot de trading, si l’on vous demande de confier votre clé privée, le niveau de sécurité est très faible.
C’est comme donner directement la clé du portefeuille à quelqu’un d’autre, le risque est maximal. Ces outils doivent être utilisés avec prudence.
Selon l’expérience du secteur, voici une autre solution de protection la plus essentielle et la plus fiable : le système de portefeuille à trois couches : froid, chaud, tiède.
C’est la méthode la plus éprouvée pour maximiser la sécurité des actifs, et de nombreuses institutions l’utilisent.
Première couche : portefeuille froid, qui peut servir de coffre pour les gros actifs.
Il est conseillé d’y placer plus de 90 % des actifs principaux, en privilégiant les portefeuilles matériels de premier plan, comme Ledger ou Trezor.
Son avantage principal est l’isolation physique : la clé privée ne se connecte jamais à Internet, rendant impossible pour un hacker de la voler via le réseau.
Un rappel : lors de la sauvegarde de la phrase mnémotechnique, utilisez un support métallique résistant aux chutes et à la perte, et rangez-le dans un endroit sécurisé, évitez de le stocker sur votre téléphone ou de le prendre en photo pour le sauvegarder dans le cloud !
Deuxième couche : portefeuille tiède, pour les dépôts de moyenne importance.
Créez un portefeuille dédié uniquement pour le staking ou le verrouillage de fonds, avec une faible fréquence d’utilisation.
L’essentiel est de ne pas importer ce portefeuille sur des plateformes tierces, ni de cliquer sur des liens DApp inconnus, en maintenant une faible activité pour réduire les risques.
Les fonds en staking ont généralement une période longue, la prudence doit primer.
Troisième couche : portefeuille chaud, pour les petites transactions.
Comme nos portefeuilles mobiles courants ou les extensions de navigateur mentionnées plus tôt, ils appartiennent à cette catégorie.
Ils ne contiennent qu’une petite quantité de frais de gaz, pour des opérations quotidiennes comme l’interaction avec des DApps ou de petites transferts.
Même si ce portefeuille est piraté, le montant étant faible, cela n’affectera pas nos actifs principaux, c’est comme échanger une petite somme contre une sécurité accrue.
Enfin,
Dans l’industrie Web 3, la sécurité des actifs est la priorité absolue, sinon on ne fait que donner une robe de mariée aux hackers.
Choisissez un portefeuille de premier plan avec une garantie d’indemnisation, utilisez un portefeuille en extension pour de petites sommes, évitez autant que possible les outils nécessitant la garde de la clé privée, et mettez en place un système à trois couches (froid, tiède, chaud) pour l’isolation des actifs. C’est la meilleure façon d’éviter les pièges.
Si vous avez d’autres expériences en matière de sécurité, n’hésitez pas à les partager !
