OKX Web3 \u0026 WTF Academy: Vous travaillez dur pour vous en sortir une seconde, puis vous vous faites "hack" la seconde suivante ?

引言：Le portefeuille Web3 OKX a spécialement planifié la rubrique “spécial sécurité” pour répondre aux problèmes de sécurité en chaîne de différents types. En utilisant des exemples de cas réels les plus courants vécus par les utilisateurs, et en collaborant avec des experts ou des organismes de sécurité, cette rubrique offre des réponses et des partages en double perspective afin de démystifier et de résumer les règles de sécurité des transactions. Son objectif est de renforcer l’éducation à la sécurité des utilisateurs tout en les aidant à apprendre à protéger leurs clés privées et leurs actifs de portefeuille.

Le fonctionnement du poil est aussi féroce qu’un tigre, et le facteur de sécurité est de moins 5 ?

En tant qu’utilisateur fréquent des interactions hors chaîne, pour les “撸毛人”, la sécurité est toujours la priorité absolue.

Aujourd’hui, les deux grands “off-chain” rois de la protection vous apprennent comment élaborer une stratégie de sécurité.

Ce numéro est le numéro 03 du numéro spécial sur la sécurité, et nous avons invité le célèbre expert en sécurité de l’industrie 0x AA et l’équipe de sécurité du portefeuille Web3 OKX pour expliquer les risques de sécurité courants liés à “Luo Mao Ren” et les mesures de prévention, en se basant sur un guide pratique.

WTF Academy: Merci beaucoup à OKX Web3 pour l’invitation. Je suis 0x AA de WTF Academy. WTF Academy est une université open source Web3 qui aide les développeurs à se familiariser avec le développement Web3. Cette année, nous avons incubé un projet de secours Web3 appelé RescuETH (équipe de secours off-chain), qui se concentre sur le secours des actifs restants dans les portefeuilles volés des utilisateurs. Jusqu’à présent, nous avons réussi à secourir plus de 3 millions de yuans d’actifs volés sur Ethereum, Solana et Cosmos.

Équipe de sécurité du portefeuille Web3 OKX : Bonjour à tous, nous sommes très heureux de pouvoir partager nos expériences aujourd’hui. L’équipe de sécurité du portefeuille Web3 OKX est principalement responsable du développement de diverses capacités de sécurité pour OKX dans le domaine de Web3, telles que la construction de capacités de sécurité du portefeuille, l’audit de sécurité des smart contracts, la surveillance de la sécurité des projets off-chain, etc. Nous fournissons aux utilisateurs des services de protection multiples tels que la sécurité des produits, la sécurité des fonds et la sécurité des transactions, contribuant ainsi à maintenir l’intégrité de l’écosystème de sécurité de la blockchain.

Q1: Veuillez partager quelques exemples de cas réels de risques rencontrés par les utilisateurs.

**WTF Academy：**Clé privée révélée est l’un des risques majeurs de sécurité auxquels les utilisateurs de masturber font face. Fondamentalement, une clé privée est une chaîne de caractères utilisée pour contrôler les actifs cryptographiques et toute personne possédant une clé privée peut exercer un contrôle total sur les actifs cryptographiques correspondants. Une fois la clé privée révélée, un attaquant peut accéder, transférer et gérer les actifs de l’utilisateur sans autorisation, ce qui entraîne des pertes économiques pour l’utilisateur. Par conséquent, je vais partager quelques cas où des clés privées ont été volées.

Alice (alias) a été incitée à télécharger un logiciel malveillant par un hacker sur les réseaux sociaux, et l’exécution de ce logiciel malveillant a entraîné le vol de sa clé privée. Les formes actuelles de logiciels malveillants sont diverses et variées, notamment les scripts de minage, les jeux, les logiciels de conférence, les scripts de phishing et les robots de spam, etc. Les utilisateurs doivent être conscients de la sécurité.

Bob (alias) a accidentellement téléchargé sa clé privée sur GitHub, ce qui a permis à d’autres personnes de l’obtenir, entraînant la perte de ses actifs.

Carl (alias) trusted the fake customer service who proactively contacted him when he consulted the official Telegram group of the project, and leaked his seed phrase, resulting in the theft of his wallet assets.

Équipe de sécurité du portefeuille Web3 OKX : Il y a plusieurs cas de risques de ce type, nous avons sélectionné quelques cas classiques rencontrés par des utilisateurs lors de l’utilisation.

La première catégorie concerne la publication de faux largages par des comptes de haute imitation. L’utilisateur A a vu une annonce d’activité de largage au bas du dernier tweet d’un projet populaire sur Twitter et a cliqué sur le lien de l’annonce pour participer au largage, ce qui a finalement conduit à une attaque de phishing. De nombreux pêcheurs utilisent actuellement des comptes officiels de haute imitation pour publier de fausses annonces sur Twitter, afin de tromper les utilisateurs. Les utilisateurs doivent faire attention à distinguer la vérité de la fiction et ne pas baisser leur garde.

La deuxième catégorie concerne les comptes officiels qui ont été compromis. Les comptes Twitter et Discord officiels d’un projet ont été attaqués par des hackers, qui ont ensuite publié un lien d’activité d’airdrop frauduleux sur ces comptes officiels. Étant donné que le lien a été publié par le canal officiel, l’utilisateur B n’a pas douté de sa véracité et a cliqué dessus pour participer à l’airdrop, mais il s’est fait ensuite phishing.

第三类，遭遇恶意项目方。用户 C 参加某项目的挖矿活动时，为获得更高的奖励收益，将所有 USDT 资产全部投到该项目的 staking 合约。然而，该智能合约并没有经过严格审计而且没有开源，结果项目方通过该合约预留的后门将合约中用户 C 存入的资产全部盗走。

对于撸毛用户来说，动辄拥有几十或者几百个钱包，如何保护钱包和资产安全是一个非常重要的话题，需要时刻保持警惕，提高安全防范意识。 Pour les utilisateurs de blockchain, posséder souvent des dizaines ou des centaines de portefeuilles, la protection des portefeuilles et de la sécurité des actifs est un sujet très important. Il est nécessaire de rester vigilant en permanence et de renforcer la conscience de la sécurité.

Q2: En tant qu’utilisateur fréquent, les risques de sécurité courants et les mesures de protection pour les interactions hors chaîne.

**WTF Academy：**Pour les utilisateurs de Web3, y compris les personnes qui “lurent” (une référence à l’expression chinoise “撸毛”, signifiant “faire du tricotin”), les deux risques de sécurité courants sont les attaques de phishing et la divulgation de clés privées.

Le premier type est celui des attaques de phishing : les pirates usurpent généralement l’identité de sites Web ou d’applications officiels, incitent les utilisateurs à cliquer sur les médias sociaux et les moteurs de recherche, puis incitent les utilisateurs à effectuer des transactions ou des signatures sur des sites Web de phishing pour obtenir l’autorisation de Jeton et voler les actifs des utilisateurs.

“Preventive measures: First, it is recommended that users only enter the official website and application through official channels (such as the link in the official Twitter profile). Second, users can use security plugins to automatically block some phishing websites. Third, when entering suspicious websites, users can consult professional security personnel to help determine if it is a phishing website.”

La deuxième catégorie est la fuite de clé privée : cela a déjà été expliqué dans la question précédente, donc je ne vais pas m’étendre davantage.

“Mesures de précaution : Premièrement, si un utilisateur a un portefeuille sur son ordinateur ou son téléphone, il devrait éviter de télécharger des logiciels suspects à partir de sources non officielles. Deuxièmement, les utilisateurs doivent savoir que le service client officiel ne vous enverra généralement pas de messages privés et ne vous demandera certainement pas d’envoyer votre clé privée ou votre phrase de récupération sur de faux sites Web. Troisièmement, si un projet open source de l’utilisateur nécessite l’utilisation d’une clé privée, veuillez configurer d’abord le fichier .gitignore pour vous assurer que la clé privée ne sera pas téléchargée sur GitHub.”

**OKX portefeuille Web3 équipe de sécurité : **Nous avons résumé les 5 types courants de risques de sécurité auxquels les utilisateurs sont confrontés lors des interactions hors chaîne et avons énuméré des mesures de protection pour chaque type de risque.

1. Arnaque Airdrop

Risques associés : Certains utilisateurs constatent souvent qu’il y a un grand nombre de jetons inconnus dans leur adresse de portefeuille. Ces jetons échouent généralement lors des transactions courantes sur les DEX, et la page suggère aux utilisateurs de les échanger sur leur site officiel. Lorsqu’ils effectuent des transactions d’autorisation, les utilisateurs accordent souvent aux smart contracts l’autorisation de transférer les actifs de leur compte, ce qui entraîne finalement le vol de leurs actifs. Par exemple, l’arnaque Airdrop Zape, de nombreux utilisateurs reçoivent soudainement une grande quantité de jetons Zape dans leur portefeuille, d’une valeur apparemment de plusieurs centaines de milliers de dollars. Cela donne l’impression à beaucoup de personnes qu’elles ont fait fortune par accident. Cependant, il s’agit en réalité d’un piège soigneusement conçu. Étant donné que ces jetons ne peuvent pas être consultés sur une plateforme régulière, de nombreux utilisateurs désireux de les encaisser chercheront le prétendu “site officiel” en fonction du nom du jeton. Une fois connectés au portefeuille comme indiqué, ils pensent pouvoir vendre ces jetons, mais une fois l’autorisation accordée, tous les actifs du portefeuille sont immédiatement volés.

Les mesures de protection : pour éviter les airdrops frauduleux, les utilisateurs doivent faire preuve d’une grande vigilance, vérifier la source des informations et toujours obtenir des informations sur les airdrops à partir de canaux officiels tels que le site Web officiel du projet, les comptes de médias sociaux officiels et les annonces officielles. Protégez vos clés privées et phrases de récupération secrètes, ne payez aucun frais et utilisez les communautés et les outils pour vérifier et identifier les possibles eyewash.

2. Smart Contract malveillant

风险简介：很多未审计或未开源的智能合约可能包含漏洞或后门，无法保证用户资金安全。 Risk Disclaimer: Many unaudited or unopen sourced smart contracts may contain vulnerabilities or backdoors, and cannot guarantee the security of user funds.

Les mesures de protection : les utilisateurs devraient principalement interagir avec des contrats intelligents strictement audités par des sociétés d’audit régulières, ou vérifier les rapports d’audit de sécurité du projet. De plus, les projets qui ont généralement des programmes de primes pour la découverte de bugs offrent une sécurité supplémentaire.

3. Gestion d’autorisation:

Risque d’abus : une autorisation excessive accordée à des contrats interactifs peut entraîner un vol de fonds. Voici quelques exemples : 1) Un contrat qui peut être mis à niveau. Si la clé privée du compte privilégié est compromise, un attaquant peut utiliser cette clé privée pour mettre à niveau le contrat vers une version malveillante et voler les actifs des utilisateurs autorisés. 2) Si le contrat présente des vulnérabilités non identifiées, une autorisation excessive peut permettre aux attaquants d’utiliser ces vulnérabilités à l’avenir pour voler des fonds.

Les mesures de protection : en principe, seuls les contrats interactifs sont autorisés avec un montant nécessaire, et il est nécessaire de vérifier régulièrement et de révoquer les autorisations inutiles. Lors de la signature d’une autorisation hors chaîne avec permit, il est important de bien comprendre le contrat cible, le type d’actif autorisé et le montant autorisé, et de réfléchir attentivement avant d’agir.

4. Authentification de Pêche

Risques associés : cliquer sur un lien malveillant et être incité à autoriser un contrat malveillant ou un utilisateur.

“Mesures de protection : 1) Évitez les signatures aveugles : avant de signer toute transaction, assurez-vous de comprendre le contenu de la transaction à signer, et assurez-vous que chaque étape de l’opération est claire et nécessaire. 2) Soyez prudent avec les autorisations accordées : si l’autorisation concerne une adresse EOA (External Owned Account) ou un contrat non vérifié, soyez vigilant. Les contrats non vérifiés peuvent contenir du code malveillant. 3) Utilisez un portefeuille avec un plugin anti-phishing : utilisez un portefeuille avec une protection anti-phishing, comme le portefeuille OKX Web3, qui peut aider à identifier et bloquer les liens malveillants. 4) Protégez vos mots de passe et clés privées : tous les sites Web qui demandent vos mots de passe ou clés privées sont des liens de phishing, ne saisissez donc pas ces informations sensibles sur n’importe quel site ou application.”

5. Scripts de fluffing malveillants

风险简介：运行恶意的撸毛脚本，会导致电脑被植入木马，从而导致Clé privée被盗。

防护措施：谨慎运行未知的撸毛脚本或者撸毛软件。

总之，我们希望用户在进行off-chain交互时候，可以谨慎再谨慎、保护好自己的Portefeuille和资产安全。

Q3：Passer en revue les types classiques de phishing et leurs techniques, ainsi que comment les identifier et les éviter？

**WTF Academy：**Je souhaite répondre à cette question sous un angle différent : une fois que l’utilisateur découvre que ses actifs ont été volés, comment distinguer une attaque de phishing d’une fuite de clé privée ? Les utilisateurs peuvent généralement distinguer ces deux types d’attaques en fonction des caractéristiques suivantes :

Une caractéristique de l’attaque de hameçonnage est que les hackers obtiennent généralement l’autorisation d’accéder à un seul ou plusieurs actifs d’un portefeuille spécifique d’utilisateurs par le biais d’un site de hameçonnage, afin de voler les actifs. En général, le nombre de types d’actifs volés est égal au nombre d’autorisations accordées par l’utilisateur sur le site de hameçonnage.

二、Clé privée / caractéristiques de fuite de mot de passe mnémonique : Le hacker obtient totalement le contrôle de tous les actifs de toutes les chaînes sous un ou plusieurs portefeuilles d’utilisateurs. Par conséquent, si l’une ou plusieurs des caractéristiques suivantes sont présentes, il est probable que la clé privée ait été compromise :

1）Les jetons natifs sont volés (comme l’ETH sur la chaîne ETH), car les jetons natifs ne peuvent pas être autorisés.

2. Les actifs multi-chaînes sont volés.

3. Vol de biens long Portefeuille.

4. Le vol de plusieurs actifs dans un seul portefeuille, et je me souviens clairement de ne pas avoir autorisé ces actifs.

5. Il n’y a pas d’autorisation avant le vol de Tokens ou dans la même transaction (événement d’approbation).

6）Le gaz transféré sera immédiatement volé par un Hacker.

如果不符合以上特征，很可能是钓鱼攻击。 -> If it does not match the above features, it is likely to be a phishing attack.

Équipe de sécurité du portefeuille Web3 OKX : Essayez de vous protéger contre le phishing en faisant attention à deux points : 1) N’oubliez pas de ne jamais saisir votre phrase de récupération/clé privée sur n’importe quelle page web ; 2)

Assurez-vous que le lien auquel vous accédez est un lien officiel et faites preuve de prudence lors de la confirmation de l’interface du portefeuille.

Ensuite, nous partagerons quelques astuces classiques pour la pêche, ce qui aidera les utilisateurs à mieux comprendre de manière intuitive.

1、Faux site de phishing : un site Web DApp officiel contrefait, incitant les utilisateurs à saisir leur clé privée ou leur mnémonique. Par conséquent, le principe fondamental pour les utilisateurs est de ne fournir leur clé privée ou leur mnémonique à personne ou à aucun site Web. Ensuite, vérifiez si l’URL est correcte, utilisez autant que possible des signets officiels pour accéder aux DApp couramment utilisées et utilisez des portefeuilles grand public légitimes, tels que le portefeuille Web3 OKX, qui alerte sur les sites de phishing détectés.

2, Vol de jetons de la chaîne principale : les fonctions de contrat malveillant sont nommées Claim, SeurityUpdate, AirDrop, etc., avec des noms suggestifs, mais la logique réelle de la fonction est vide, elle ne fait que transférer les jetons de la chaîne principale des utilisateurs.

3. Transfert d’adresse similaire : les fraudeurs généreront une adresse avec des premières et dernières parties identiques à une adresse associée à l’utilisateur, utiliseront transferFrom pour effectuer des transferts de 0 montant pour empoisonner, ou effectueront des transferts d’un montant spécifique avec de faux USDT, afin de contaminer l’historique des transactions de l’utilisateur et espérer que l’utilisateur copie l’adresse erronée depuis l’historique des transactions lors de transferts ultérieurs.

4、假冒客服：黑客假冒客服，通过社交媒体或邮件联系用户，要求提供Clé privée或助记词。官方客服不会要求提供Clé privée，直接忽略此类请求。

Q4: Précautions de sécurité à prendre lors de l’utilisation d’outils de dépilage pour les professionnels

**WTF Academy：**En raison de la grande variété d’outils utilisés par les utilisateurs, il est nécessaire de renforcer la sécurité lors de l’utilisation de divers outils, par exemple

1、Portefeuille sécurisé: assurez-vous que la clé privée ou la phrase de récupération ne soit pas divulguée, ne conservez pas la clé privée dans des endroits non sécurisés et évitez de la saisir sur des sites Web inconnus ou non fiables, etc. Les utilisateurs devraient sauvegarder leur clé privée ou leur phrase de récupération dans un endroit sécurisé, tel qu’un appareil de stockage hors ligne ou un stockage cloud chiffré. De plus, pour les utilisateurs de portefeuilles détenant des actifs de grande valeur, l’utilisation d’un portefeuille multi-signature peut renforcer la sécurité.

2. Prévenir les attaques de phishing : Lorsque les utilisateurs visitent tout site Web pertinent, il est impératif de vérifier attentivement l’URL pour éviter de cliquer sur des liens d’origine inconnue. Il est préférable d’obtenir les liens de téléchargement et les informations à partir du site Web officiel du projet ou des médias sociaux officiels pour éviter d’utiliser des sources tierces.

3. Sécurité logicielle : Les utilisateurs doivent s’assurer d’installer et de mettre à jour des logiciels antivirus sur leurs appareils pour éviter les attaques de logiciels malveillants et de virus. De plus, ils doivent régulièrement mettre à jour leur portefeuille et d’autres outils liés à la blockchain pour garantir l’utilisation des derniers correctifs de sécurité. Étant donné que de nombreuses vulnérabilités de sécurité ont été découvertes dans les navigateurs d’empreintes digitales et les bureaux à distance, il est déconseillé de les utiliser.

通过以上措施，用户可以进一步Goutte在使用各类工具时的安全风险。

Équipe de sécurité du portefeuille Web3 OKX : Commençons par un exemple de cas public de l’industrie.

Par exemple, le navigateur d’empreintes digitales Bit offre des fonctionnalités telles que la connexion à plusieurs comptes, la prévention de la corrélation des fenêtres et la simulation d’informations d’ordinateur indépendant, qui sont appréciées par certains utilisateurs. Cependant, une série d’incidents de sécurité en août 2023 a révélé ses risques potentiels. Plus précisément, la fonction de “synchronisation des données de plug-in” du navigateur Bit permet aux utilisateurs de télécharger des données de plug-in vers le serveur cloud et de les migrer rapidement sur un nouveau périphérique en saisissant un mot de passe. Bien que cette fonction ait été conçue pour faciliter l’utilisation des utilisateurs, elle comporte également des risques de sécurité. Les hackers ont réussi à obtenir les données du portefeuille des utilisateurs en piratant le serveur. En utilisant la méthode de l’attaque par force brute, les hackers ont déchiffré le mot de passe du portefeuille à partir des données et ont obtenu l’autorisation d’accès au portefeuille. Selon les enregistrements du serveur, le serveur de cache d’extension a été téléchargé illégalement au début du mois d’août (les journaux montrent que cela s’est produit au plus tard le 2 août). Cet incident nous rappelle de rester vigilants face aux risques potentiels de sécurité tout en profitant de la commodité.

Donc, il est essentiel que les utilisateurs s’assurent que les outils qu’ils utilisent sont sûrs et fiables afin d’éviter les risques de piratage et de fuite de données. En général, les utilisateurs peuvent améliorer leur sécurité en suivant ces dimensions.

一、使用 du portefeuille matériel : 1）Mettre à jour régulièrement le micrologiciel en l’achetant par le biais des canaux officiels. 2）Utiliser sur un ordinateur sécurisé et éviter de le connecter dans des lieux publics.

二、浏览器插件使用：）谨慎使用第三方插件和工具，尽量选择信誉良好的产品，如 OKX Web3钱包等。2）避免在不受信任的网站上使用钱包插件。

三、Utilisation de l’outil d’analyse de transaction : 1) Effectuer des transactions et des interactions contractuelles sur une plateforme digne de confiance. 2) Vérifier soigneusement l’adresse du contrat et les méthodes d’appel pour éviter les erreurs de manipulation.

四、Utilisation des équipements informatiques : 1) Mettre régulièrement à jour les systèmes des équipements informatiques, mettre à jour les logiciels, et combler les failles de sécurité. 2) Utiliser un logiciel antivirus pour assurer la sécurité, et effectuer régulièrement des analyses antivirus sur le système informatique.

Q 5 : Par rapport à une seule Portefeuille, comment un coiffeur peut-il gérer long Portefeuille et compte de manière plus sûre ?

**WTF Academy：**En raison de la fréquence élevée des interactions des utilisateurs dans le réseau et de la gestion simultanée de plusieurs portefeuilles et comptes, il est crucial de prêter une attention particulière à la sécurité des actifs.

一、Utilisation du portefeuille matériel : Le portefeuille matériel permet aux utilisateurs de gérer plusieurs comptes de portefeuille sur le même appareil, où la clé privée de chaque compte est stockée dans le dispositif matériel, ce qui garantit une plus grande sécurité.

Deuxièmement, stratégie de sécurité séparée et environnement opérationnel séparé : tout d’abord, séparez la stratégie de sécurité afin que les utilisateurs puissent atteindre la diversification des risques en séparant les portefeuilles à des fins différentes. Par exemple, portefeuille d’Airdrop, portefeuille de transaction, portefeuille de stockage, etc. Par exemple, le portefeuille chaud est utilisé pour les transactions quotidiennes et les opérations rapides, tandis que le portefeuille froid est utilisé pour stocker les actifs importants à long terme. Ainsi, même si un portefeuille est compromis, les autres portefeuilles ne seront pas affectés.

其次就是分离操作环境，用户可以使用不同设备（例如手机、平板、电脑等）管理不同Portefeuille，防止一个设备的安全问题影响所有Portefeuille。

三、Gestion des mots de passe : Les utilisateurs devraient configurer des mots de passe forts pour chaque compte de portefeuille, éviter d’utiliser des mots de passe identiques ou similaires. Ou utilisez un gestionnaire de mots de passe pour gérer les mots de passe de différents comptes, assurez-vous que chaque mot de passe est indépendant et sécurisé.

Équipe de sécurité du portefeuille Web3 OKX: Pour les utilisateurs de tradeurs, gérer de manière sécurisée plusieurs portefeuilles et comptes n’est pas une tâche facile. Par exemple, il est possible d’améliorer le niveau de sécurité du portefeuille en se concentrant sur les aspects suivants :

1、Risque de diversification： 1）Ne mettez pas tous vos actifs dans un seul portefeuille, stockez-les de manière diversifiée pour réduire les risques. En fonction du type et de l’utilisation des actifs, choisissez différents types de portefeuilles, tels que les portefeuilles matériels, les portefeuilles logiciels, les portefeuilles froids et les portefeuilles chauds, etc. 2）Utilisez un portefeuille multi-signatures pour gérer les actifs importants et améliorer la sécurité.

2, Backup and Restore: 1) Faites régulièrement une sauvegarde de votre phrase de récupération et de votre clé privée, et stockez-les dans plusieurs endroits sécurisés. 2) Utilisez un portefeuille matériel pour un stockage à froid et évitez toute fuite de clé privée.

3, Évitez les mots de passe répétés: Définissez des mots de passe forts pour chaque portefeuille et compte séparément, évitez d’utiliser le même mot de passe pour réduire le risque de compromettre un compte et de menacer simultanément d’autres comptes.

4. Activer la vérification en deux étapes : Dans la mesure du possible, activez la vérification en deux étapes (2FA) pour tous les comptes afin d’améliorer la sécurité du compte.

5. Outils d’automatisation : Réduisez l’utilisation d’outils d’automatisation, en particulier ceux qui pourraient stocker vos informations sur le cloud ou sur des serveurs tiers, afin de réduire les risques de fuite de données.

6, Restreindre l’accès : Autoriser seulement les personnes de confiance à accéder à votre portefeuille et à votre compte, et limiter leurs droits d’opération.

7、Vérification régulière de la sécurité du portefeuille: Utilisation d’outils de surveillance des transactions de portefeuille pour s’assurer qu’aucune transaction anormale ne se produit. Si une fuite de clé privée de portefeuille est détectée, remplacez immédiatement tous les portefeuilles, etc.

除了以上列举的几个维度外，还有long，无论如何，用户尽可能通过long个维度来确保Portefeuille和资产安全，不要仅仅依赖单一的维度。

Q 6 ：Quels sont les conseils de protection contre le slippage des transactions et les attaques MEV liées aux opérations de trading pertinentes ?

**WTF Academy: **Il est crucial de comprendre et de se prémunir contre le glissement des transactions et les attaques MEV, ces risques affectent directement les coûts de transaction et la sécurité des actifs.

En ce qui concerne les attaques MEV, les types courants comprennent : 1) Le front-running, où les mineurs ou les robots de trading exécutent préalablement la même transaction que celle des utilisateurs pour réaliser des bénéfices. 2) L’attaque au sandwich, où les mineurs insèrent des ordres d’achat et de vente avant et après la transaction des utilisateurs respectivement, afin de réaliser des profits à partir des fluctuations de prix. 3) L’arbitrage : profiter des différences de prix entre différents marchés sur la blockchain.

用户可以通过 MEV 保护工具，将交易提交给Mineur的专用通道，避免公开在Bloc上广播。或者Goutte交易公开时间，即减少交易在pool de mémoire中停留的时间，并使用较高的 Gas 费加快交易确认速度、以及避免集中在一个 DEX 平台进行大额交易等措施，来Goutte被攻击的风险。

Équipe de sécurité du portefeuille Web3 OKX : Le glissement de transaction fait référence à la différence entre le prix de transaction attendu et le prix d’exécution réel, qui se produit généralement lorsque le marché fluctue beaucoup ou que la liquidité est faible. L’attaque MEV fait référence à l’utilisation par l’attaquant d’informations asymétriques et de privilèges de transaction pour obtenir des profits excessifs. Voici quelques mesures de protection couramment utilisées pour ces deux scénarios.

1、Définir la tolérance au glissement : en raison du délai de traitement des transactions sur la chaîne et des éventuelles attaques MEV, les utilisateurs doivent définir à l’avance une tolérance au glissement raisonnable pour éviter les échecs de transaction ou les pertes de fonds dus à la fluctuation du marché ou aux attaques MEV.

2. Goutte à goutte des transactions : Évitez les grosses transactions en une seule fois, effectuez des transactions par lots pour réduire l’impact sur le prix du marché et réduire le risque de slippage.

3. Utilisez des paires de trading avec une liquidité élevée : lors de vos transactions, choisissez des paires de trading avec une liquidité suffisante pour réduire les risques de glissement.

4. Utiliser des outils anti-front-running : Les transactions importantes ne devraient pas passer par le Memepool. On peut utiliser des outils spécialisés anti-front-running pour protéger les transactions contre les robots MEV.

Q 7: Est-ce que les utilisateurs peuvent utiliser des outils de surveillance ou des méthodes spécialisées pour surveiller régulièrement et détecter les anomalies des comptes de portefeuille ?

**WTF Academy：**Les utilisateurs peuvent utiliser divers outils de surveillance et méthodes professionnelles pour surveiller régulièrement et détecter les activités anormales des comptes de portefeuille. Ces méthodes contribuent à renforcer la sécurité du compte, à prévenir les accès non autorisés et les fraudes potentielles. Voici quelques méthodes efficaces de surveillance et de détection :

1. Services de surveillance tiers : De nombreuses plateformes actuelles peuvent fournir aux utilisateurs des rapports détaillés sur les activités de leur portefeuille ainsi que des alertes en temps réel.

2）Utiliser des plugins de sécurité : certains outils de sécurité peuvent automatiquement bloquer certains sites de phishing.

3. Fonctionnalités intégrées au portefeuille : Les portefeuilles tels que OKX Web3 peuvent détecter automatiquement et reconnaître certains sites de pêche et contrats suspects, fournissant ainsi une alerte aux utilisateurs.

Équipe de sécurité du portefeuille Web3 OKX : Actuellement, de nombreuses entreprises ou organisations proposent de nombreux outils pour la surveillance et la détection des adresses de portefeuille. Nous avons compilé certaines informations publiques de l’industrie, telles que :

1、Outil de surveillance de la blockchain : Utilisation d’outils d’analyse de la blockchain pour surveiller les transactions anormales des portefeuilles, les variations de fonds, et configurer des notifications de transaction pour les adresses.

2, Portefeuille sécurisé : Utilisez des portefeuilles spécialisés tels que le portefeuille Web3 OKX pour prendre en charge la pré-exécution des transactions et détecter rapidement les transactions suspectes. Il peut également détecter et bloquer les interactions avec des sites Web et des contrats malveillants.

3. Système d’alarme : peut envoyer des alertes en fonction des conditions définies par l’utilisateur pour les transactions ou les variations de solde, y compris des notifications par SMS, e-mail ou application.

4, Vérification de l’autorisation des jetons OKLink : Vérifiez l’autorisation du portefeuille pour les DApps, révoquez rapidement les autorisations inutiles et empêchez les contrats malveillants d’abuser des autorisations.

Q 8: Comment protéger la sécurité de la vie privée hors chaîne ?

**WTF Academy：**Bien que les caractéristiques de transparence de la blockchain apportent de nombreux avantages, elles signifient également que les activités de transaction et les informations sur les actifs des utilisateurs peuvent être utilisées de manière abusive, ce qui rend la protection de la vie privée hors chaîne de plus en plus importante. Cependant, les utilisateurs peuvent protéger leur identité en créant et en utilisant plusieurs adresses. Il n’est pas recommandé d’utiliser un navigateur d’empreintes digitales car de nombreuses failles de sécurité ont été signalées auparavant.

OKX Portefeuille Web3 Équipe de Sécurité : De plus en plus d’utilisateurs accordent désormais une attention particulière à la protection de leur vie privée. Les méthodes courantes incluent

1. Portefeuille multiple: Goutte la gestion des actifs des utilisateurs, long le risque de traçage ou d’attaque d’un seul portefeuille.

2、Utilisation d’un portefeuille à signatures multiples : nécessite une signature de plusieurs parties pour exécuter la transaction, ce qui renforce la sécurité et la confidentialité.

3、Cold Wallet：Stocker des actifs détenus à long terme dans un portefeuille matériel ou un stockage hors ligne pour se protéger contre les attaques en ligne.

4、Ne partagez pas votre adresse en public: Évitez de partager votre adresse de portefeuille sur les réseaux sociaux ou les plateformes publiques pour éviter d’être suivi par d’autres personnes.

5. Utilisez une adresse e-mail temporaire : Lors de votre participation à une airdrop ou à d’autres activités, utilisez une adresse e-mail temporaire pour protéger vos informations personnelles et éviter toute divulgation.

Q 9: Si le portefeuille compte est volé, comment l’utilisateur devrait-il réagir? Avez-vous fait des efforts pour aider les utilisateurs volés à récupérer leurs actifs et protéger leurs actifs, ou avez-vous mis en place un mécanisme?

**WTF Academy：**Nous abordons respectivement les attaques de phishing et les fuites de clés privées/mots de passe.

Premièrement, lorsqu’une attaque de phishing se produit, les actifs autorisés par l’utilisateur sont transférés vers le portefeuille du hacker, et il est presque impossible de les récupérer ; cependant, les actifs restants dans le portefeuille de l’utilisateur sont relativement sécurisés. L’équipe RescuETH recommande aux utilisateurs de prendre les mesures suivantes :

1. Révoquer l’autorisation d’actifs accordée aux hackers

2. Contactez une entreprise de sécurité pour retracer les actifs volés et les adresses des hackers.

Deuxièmement, lorsque la clé privée / la phrase de récupération est divulguée, tous les actifs de valeur dans le portefeuille de l’utilisateur seront transférés vers le portefeuille du hacker. Cette partie est presque impossible à récupérer, mais les actifs actuellement non transférables du portefeuille de l’utilisateur peuvent être récupérés, tels que les actifs de mise non verrouillés et les airdrops non distribués, qui sont également nos principaux objectifs de récupération. L’équipe RescuETH recommande aux utilisateurs de prendre les mesures suivantes :

1. Vérifiez immédiatement dans votre portefeuille si des actifs n’ont pas été transférés par un hacker. Si tel est le cas, transférez-les immédiatement vers un portefeuille sécurisé. Parfois, les hackers peuvent négliger des actifs sur des chaînes moins populaires.

2）Si le portefeuille contient des actifs de mise non verrouillés et des largages non distribués, vous pouvez contacter une équipe professionnelle pour obtenir de l’aide.

3. Si vous soupçonnez l’installation de malware, veuillez rapidement effectuer une analyse antivirus sur votre ordinateur et supprimer les logiciels malveillants. Si nécessaire, vous pouvez réinstaller le système.

当前，我们在救援被盗用户的资产方面做过很多尝试。 -> Actuellement, nous avons fait de nombreux efforts pour secourir les actifs des utilisateurs volés.

Premièrement, nous sommes la première équipe à effectuer un sauvetage à grande échelle des actifs des portefeuilles volés. Lors de l’événement d’airdrop Arbitrum en mars 2023, j’ai collecté plus de 40 clés privées de portefeuilles divulguées auprès de près de 20 fans et j’ai réussi à devancer les hackers pour l’airdrop de $ARB. Nous avons finalement réussi à sauver plus de 40 000 dollars de jetons ARB, avec un taux de réussite de 80%.

Deuxièmement, lorsque le portefeuille de l’utilisateur est piraté, les actifs de valeur économique sont transférés par les hackers, tandis que les NFT ou ENS sans valeur économique mais ayant une valeur commémorative pour l’utilisateur restent dans le portefeuille. Cependant, en raison de la surveillance du portefeuille par les hackers, tout le gaz transféré sera immédiatement détourné, ce qui empêche l’utilisateur de transférer cette partie des actifs. Pour remédier à cela, nous avons développé une application d’auto-récupération : l’application RescuETH. Basée sur la technologie MEV des bundles Flashbots, elle permet de regrouper les transactions de gaz entrant et de transfert de NFT/ENS sortant, afin d’empêcher les scripts d’écoute des hackers de détourner le gaz et de réussir à récupérer les actifs. Actuellement, l’application RescuETH est en phase de test interne et devrait être disponible en version bêta publique à partir de juin.

Troisièmement, nous proposons un service de sauvetage rémunéré et personnalisable pour les actifs récupérables des portefeuilles volés des utilisateurs (les mises en jeu non verrouillées et les largages non distribués). À l’heure actuelle, notre équipe de hackers éthiques est composée d’environ 20 experts en sécurité/MEV et a réussi à récupérer plus de 3 millions de yuans d’actifs dans des portefeuilles volés sur des chaînes telles que ETH, Solana, Cosmos, etc.

Équipe de sécurité du portefeuille Web3 OKX : Nous abordons cela à partir de deux perspectives : les mesures prises par les utilisateurs et le mécanisme de sécurité du portefeuille Web3 OKX.

一、用户措施 -> Mesures des utilisateurs

Une fois qu’un utilisateur découvre que son portefeuille a été volé, il est recommandé de prendre les mesures suivantes en urgence :

1. Mesures d’intervention d’urgence

1）Transférer immédiatement les fonds : Si vous avez encore des fonds dans votre portefeuille, vous devez les transférer immédiatement vers une nouvelle adresse sécurisée.

2）Révoquer l’autorisation : révoquez immédiatement toutes les autorisations via l’outil de gestion pour éviter de subir d’autres pertes.

3）追踪资金流向：及时追踪被盗资金的流向，整理被盗过程的详细信息，以便寻求外部帮助。

2、Support de la communauté et des développeurs du projet.

1）Recherche d’aide auprès des équipes de projet et de la communauté : Signalez l’incident aux équipes de projet et à la communauté. Parfois, les équipes de projet peuvent geler ou récupérer les actifs volés. Par exemple, USDC dispose d’un mécanisme de liste noire qui peut bloquer les transferts de fonds.

2）Rejoindre une organisation de sécurité blockchain : Rejoindre une organisation ou un groupe de sécurité blockchain pertinent pour résoudre les problèmes en utilisant la force collective.

3）Contactez le support client du portefeuille : Contactez rapidement l’équipe de support client du portefeuille pour obtenir une assistance professionnelle et des conseils.

二、OKX portefeuille Web3 mécanisme de sécurité

OKX portefeuille Web3 attache une grande importance à la sécurité des actifs des utilisateurs et s’engage à protéger en permanence les actifs des utilisateurs en fournissant plusieurs mécanismes de sécurité pour garantir la sécurité de leurs actifs numériques.

1. La bibliothèque d’étiquettes d’adresses noires : Le portefeuille Web3 de OKX a mis en place une bibliothèque d’étiquettes d’adresses noires complète pour empêcher les utilisateurs d’interagir avec des adresses malveillantes connues. Cette bibliothèque d’étiquettes est continuellement mise à jour pour faire face aux menaces de sécurité en constante évolution et garantir la sécurité des actifs des utilisateurs.

2）Plugin de sécurité: Le portefeuille Web3 OKX offre une fonction de protection anti-hameçonnage intégrée pour aider les utilisateurs à identifier et à bloquer les liens et les demandes de transaction malveillants potentiels, renforçant ainsi la sécurité de leur compte.

3. Support en ligne 24h/24 : Le portefeuille Web3 d’OKX offre un support en ligne 24h/24 aux clients, afin de suivre rapidement les cas de vol ou d’escroquerie d’actifs des utilisateurs et de garantir une assistance et un accompagnement rapides.

4）Éducation des utilisateurs : Le portefeuille Web3 OKX publie régulièrement des conseils de sécurité et du matériel éducatif pour aider les utilisateurs à prendre conscience de la sécurité, à comprendre comment se prémunir contre les risques de sécurité courants et à protéger leurs actifs.

Q1 0: Pouvez-vous partager les technologies de sécurité de pointe, telles que l’utilisation de l’IA pour renforcer la protection de la sécurité ?

**WTF Academy：**La sécurité dans le domaine de la blockchain et de Web3 est un domaine en constante évolution, avec l’émergence continue de diverses technologies et méthodes de sécurité de pointe. Actuellement, les plus populaires sont :

1）smart contract audit：Utilisation de l’IA et de l’apprentissage automatique pour automatiser l’audit de sécurité des smart contracts, permettant de détecter les failles et les risques potentiels dans les smart contracts, et offrant une analyse plus rapide et plus complète que l’audit manuel traditionnel.

2）Détection des comportements anormaux : utilisation d’algorithmes d’apprentissage automatique pour analyser les transactions sur la chaîne et les modèles de comportement, détecter les activités anormales et les menaces potentielles pour la sécurité. L’IA peut identifier les modèles d’attaque courants (tels que les attaques MEV, les attaques de phishing) et les comportements de transaction anormaux, fournissant des alertes en temps réel.

3）Détection de la fraude : l’IA peut analyser l’historique des transactions et le comportement des utilisateurs, identifier et marquer les activités frauduleuses potentielles.

Équipe de sécurité du portefeuille Web3 OKX : Actuellement, l’IA a déjà été largement utilisée dans le domaine du Web3, voici quelques scénarios d’utilisation de l’IA pour renforcer la sécurité du Web3 :

Premièrement, détection des anomalies et détection des intrusions : en utilisant l’IA et les modèles d’apprentissage automatique, nous analysons les modèles de comportement des utilisateurs pour détecter les activités anormales. Par exemple, nous pouvons utiliser des modèles d’apprentissage profond pour analyser les transactions et les activités des portefeuilles, afin d’identifier tout comportement malveillant potentiel ou toute activité anormale.

第二，钓鱼网站识别：AI 可以通过分析网页内容和链接特征，检测并阻止钓鱼网站，保护用户不受网络钓鱼攻击的威胁。 => Deuxièmement, identification des sites de phishing : l’IA peut détecter et bloquer les sites de phishing en analysant le contenu des pages web et les caractéristiques des liens, protégeant ainsi les utilisateurs contre les menaces d’attaque par phishing.

Troisièmement, la détection de logiciels malveillants : l’IA peut détecter les logiciels malveillants nouveaux et inconnus en analysant le comportement et les caractéristiques des fichiers, empêchant ainsi les utilisateurs de télécharger et d’exécuter des programmes malveillants.

Quatrièmement, réponse automatisée aux menaces : l’IA peut automatiser les mesures de réponse, telles que la suspension automatique des comptes ou d’autres opérations de protection, lorsqu’elle détecte une activité anormale.

最后，感谢大家看完 OKX portefeuille Web3《安全特刊》栏目的第 03 期，当前我们正在紧锣密鼓地准备第 04 期内容，不仅有真实的案例、风险识别、还有安全操作干货，rester à l’écoute！

Déclaration de non-responsabilité

Ce document est fourni à titre de référence uniquement et n’a pas l’intention de fournir (i) des conseils ou des recommandations en matière d’investissement ; (ii) une offre ou une sollicitation d’achat, de vente ou de détention d’actifs numériques ; ou (iii) des conseils financiers, comptables, juridiques ou fiscaux. La détention d’actifs numériques (y compris les stablecoins et les NFT) implique des risques élevés et peut connaître des fluctuations importantes, voire devenir sans valeur. Vous devriez prendre en compte votre situation financière personnelle avant de décider de négocier ou de détenir des actifs numériques. Veuillez vous renseigner et respecter les lois et réglementations locales applicables de votre propre responsabilité.