Pas encore gagné d'argent mais déjà piraté ? Voici un guide de prévention contre le phishing des inscriptions, à garder précieusement.
TechFlow SélectionTechFlow Sélection
Pas encore gagné d'argent mais déjà piraté ? Voici un guide de prévention contre le phishing des inscriptions, à garder précieusement.
Analyse de trois cas typiques de sécurité des inscriptions : risques liés aux projets frauduleux (scam), risques d'erreurs de transfert ou de destruction accidentelle, et risques liés aux outils centralisés.
Dédié à des analyses Web3 approfondiesRédaction : BlockSec
Alors que le concept des inscriptions atteint un niveau de popularité sans précédent, les prix des principales inscriptions ont augmenté jusqu'à plusieurs dizaines de milliers de fois. Dans ce contexte, de nombreuses personnes profitent déjà de la complexité et de la nouveauté des inscriptions pour commettre diverses fraudes, un phénomène qui devient de plus en plus fréquent. Ces activités menacent gravement la sécurité des actifs des utilisateurs et nuisent au développement sain de l'écosystème global des inscriptions.
À cet égard, nous avons recensé trois cas typiques de risques liés aux inscriptions : les risques liés aux projets scam, aux transferts erronés ou brûlures accidentelles, ainsi qu'aux outils centralisés, accompagnés, pour chaque scénario, des mesures préventives adaptées pour les utilisateurs.
Risque lié aux projets scam
Dans le protocole Bitcoin actuel, l'identification d'un projet repose principalement sur le nom spécifié lors de l'opération de déploiement (deploy), et chaque projet est identifié par un ID unique dans l'indexeur. Toutefois, pour les utilisateurs ordinaires, il est souvent difficile de retenir autre chose que le nom du projet, qui devient alors leur principal critère pour effectuer une transaction. Cette dépendance au nom comporte des risques, car le code ASCII contient de nombreux caractères visuellement similaires mais différents, offrant ainsi des opportunités de fraude visuelle. Des acteurs malveillants peuvent exploiter ces similitudes pour tromper les utilisateurs, en les amenant à croire qu'ils interagissent avec un projet connu, tout en émettant massivement des jetons imitant ce projet.
Ces fraudes surviennent souvent lors du processus de frappe (mint) d'une inscription. Les fraudeurs incitent les utilisateurs à payer des frais afin d'obtenir des jetons ou autres actifs virtuels, qui sont en réalité dépourvus de toute valeur réelle. Ce type de fraude nuit non seulement aux utilisateurs, mais peut également compromettre la stabilité de l’ensemble de l’écosystème.
Prenons l'exemple d’un faux « rats », dont le nom est extrêmement proche de celui du véritable projet « rats » grâce à l’utilisation de caractères ASCII similaires. Si l’utilisateur ne prête pas attention à la différence subtile dans le nom (notamment le « t » dans « rats »), il pourrait être induit en erreur et acheter un jeton faux, entraînant une perte financière.
Outre les fausses inscriptions, certains scams vont jusqu’à extorquer des fonds supplémentaires aux utilisateurs pendant le processus de mint.
Par exemple, comme illustré sur l'image ci-dessous, lors de la création d'une inscription sur Bitmap, un site frauduleux exige un paiement supplémentaire vers une adresse spécifique. Si l'utilisateur ne remarque pas ce montant inhabituel, il encourt une perte importante.
💡 Mesure préventive : Évitez de frapper des inscriptions via des canaux non fiables
Les canaux de frappe d'inscriptions sont aujourd'hui très variés. Parmi ceux rencontrés actuellement, on distingue :
-
Les sites officiels de lancement créés par les équipes projets
-
Les outils intégrés dans des portefeuilles comme Unisat
-
D'autres outils auxiliaires fournis par des tiers
Cette grande diversité de canaux peut plonger les utilisateurs dans la confusion, rendant difficile l’évaluation de leur fiabilité et de leur sécurité, les exposant ainsi aux pièges des inscriptions frauduleuses. Nous recommandons aux utilisateurs d’utiliser de préférence les sites officiels des projets ou des portefeuilles pour frapper des inscriptions, de vérifier attentivement l’adresse du site avant toute opération, et de bien contrôler le montant requis pour la frappe. Pour des opérations de mint en grand volume, nous conseillons d’utiliser les outils intégrés des portefeuilles afin de renforcer la sécurité des fonds.
Risque de transfert ou de brûlure accidentelle
Premièrement, le transfert accidentel consiste à envoyer par erreur un bitcoin porteur d’une inscription comme s’il s’agissait d’un simple bitcoin ordinaire. Puisque les inscriptions sont attachées aux transactions Bitcoin, les portefeuilles traditionnels BTC ne prennent pas en compte leur valeur ajoutée et affichent uniquement la valeur en satoshis verrouillée dans le modèle UTXO. Certains utilisateurs peuvent effectuer des transferts classiques sans pleinement comprendre les implications des inscriptions, ce qui peut amener leur portefeuille à fusionner ou fractionner les UTXO et à envoyer l’inscription vers une mauvaise adresse, causant une perte irréversible.
Deuxièmement, la brûlure accidentelle (burn) se produit lorsque l’utilisateur traite une inscription comme une information sans valeur et décide de la supprimer ou de la brûler. Comme les inscriptions n’affectent pas directement la propriété ou la valeur du bitcoin dans le modèle de segmentation, certains utilisateurs peuvent penser à tort que les bitcoins porteurs d’inscriptions ont moins de valeur, sont insignifiants ou inutiles, et choisir de les fusionner avec d’autres UTXO. Cela peut entraîner la perte définitive d’informations ou d’actifs précieux associés à l’inscription.
Par exemple, comme montré sur l'image ci-dessous, lors d'une transaction censée protéger une inscription BTC, le portefeuille n’a pas correctement identifié l’inscription et l’a envoyée par erreur comme une petite quantité négligeable (dust), causant une perte. https://twitter.com/wizzwallet/status/1714385677985661245?s=20
💡 Mesure préventive : Utilisez une adresse et un portefeuille dédiés aux inscriptions
Dans le modèle de segmentation, afin d’éviter toute perte accidentelle de biens numériques de haute valeur associés à des inscriptions, nous recommandons aux utilisateurs de disposer d’une adresse et d’un portefeuille exclusivement réservés aux inscriptions. Cette pratique réduit efficacement les risques d’erreurs et garantit la sécurité des actifs liés aux inscriptions. Cette adresse doit être distincte des adresses utilisées pour les transactions courantes, afin d’éviter toute confusion. En isolant les transactions d’inscriptions des autres opérations, l’utilisateur peut mieux contrôler et gérer ses actifs.
Risque lié aux outils centralisés
La conception décentralisée de la blockchain permet aux utilisateurs de participer directement à l’écosystème, mais utiliser directement les protocoles RPC complexes est trop technique pour la majorité. Ainsi, la plupart des utilisateurs dépendent d’outils auxiliaires pour participer aux processus de création et d’échange d’inscriptions.
Étant donné que les inscriptions constituent un concept nouveau, leur écosystème en est encore à ses balbutiements comparé au système mature des jetons ERC20. Bien que de nombreux outils apparaissent rapidement, la plupart se concentrent sur les fonctionnalités au détriment de la sécurité. Par exemple, certains demandent aux utilisateurs d’importer leur clé privée pour signer en leur nom, ou exigent de déposer leurs actifs sur la plateforme pour effectuer des transactions. Ces pratiques exposent la clé privée de l’utilisateur ; les outils centralisés obtiennent ainsi un contrôle total sur les actifs, ce qui crée des risques typiques de centralisation, comme le « rug pull ». Ce genre de risque est comparable à certaines entreprises de portefeuilles qui, après avoir pris possession des clés privées des utilisateurs, s’enfuient avec tous les fonds avant de fermer leurs activités.
Par exemple, l'outil illustré ci-dessous a directement volé l'argent du portefeuille de l'utilisateur en obtenant sa clé privée.
💡 Mesure préventive : Utilisez des outils auxiliaires sécurisés pour les inscriptions
Pour renforcer la sécurité des actifs liés aux inscriptions, les utilisateurs doivent privilégier les marchés d’inscriptions reconnus pour effectuer leurs transactions et opérations.
Par exemple :
Geniidata : https://geniidata.com/Ordinals/index/brc20
Ordiscan : https://ordiscan.com/
Etch Market : https://www.etch.market/market
Ces plateformes largement reconnues d’exploration et de marché d’inscriptions offrent un environnement de transaction sécurisé et des informations fiables. Effectuer des opérations telles que la frappe (mint), l’échange ou d'autres actions sur ces plateformes accréditées renforce significativement la sécurité des utilisateurs. En outre, les utilisateurs doivent rester vigilants et ne pas faire aveuglément confiance aux services de frappe ou d’échange proposés par des sites inconnus. Avant toute action, ils doivent soigneusement étudier la réputation et la sécurité du site. Enfin, ils doivent s’assurer de ne jamais divulguer leur clé privée ou d’autres informations sensibles à des tiers non fiables, afin d’éviter les tentatives de phishing ou de vol.
Conclusion
Après avoir examiné en détail les risques liés aux scams d’inscriptions, aux transferts ou brûlures accidentelles, ainsi qu’aux dangers potentiels des outils centralisés, il apparaît clairement que, bien que l’écosystème des inscriptions soit prometteur, il comporte également de nombreux risques et défis. Les utilisateurs doivent donc faire preuve d’une vigilance et d’une prudence maximales lorsqu’ils manipulent ou stockent des inscriptions. En utilisant des canaux officiels pour la frappe, en configurant des adresses et portefeuilles dédiés, et en choisissant des outils auxiliaires sécurisés, ces mesures préventives peuvent considérablement réduire les risques et protéger efficacement les actifs des utilisateurs. Enfin, nous encourageons tous les participants à rester prudents : dans le monde des actifs numériques, la sécurité prime toujours sur tout.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@BlockSecTeam
