
OKX Web3 publie le dernier guide de sécurité pour les transactions sécurisées contre le phishing sur la blockchain
TechFlow SélectionTechFlow Sélection

OKX Web3 publie le dernier guide de sécurité pour les transactions sécurisées contre le phishing sur la blockchain
Explore le monde de la blockchain en priorisant la sécurité. Les utilisateurs doivent impérativement retenir ces trois règles : ne jamais saisir sa phrase de récupération ou sa clé privée sur une page web, faire preuve de prudence en cliquant sur le bouton de confirmation dans l'interface de transaction du portefeuille, et garder à l'esprit que les liens provenant de Twitter, Discord ou des moteurs de recherche pourraient être des liens de phishing.
À l'entrée d'un nouveau cycle, les risques liés aux interactions sur la blockchain s'exposent de plus en plus avec l'augmentation de l'activité des utilisateurs. Les pirates informatiques utilisent fréquemment des sites web frauduleux imitant des portefeuilles officiels, le piratage de comptes de médias sociaux, la création d'extensions malveillantes pour navigateurs, l'envoi de courriels ou messages trompeurs, ainsi que la diffusion d'applications fausses afin d'inciter les utilisateurs à divulguer leurs informations sensibles, entraînant des pertes d'actifs. Ces attaques par hameçonnage se caractérisent par leur diversité, complexité et nature dissimulée.
Par exemple, les fraudeurs créent souvent des sites web contrefaits ressemblant fortement à des services officiels de portefeuille, incitant les utilisateurs à y saisir leur clé privée ou leur phrase de récupération (seed phrase). Ces faux sites sont généralement promus via les réseaux sociaux, les courriels ou la publicité, induisant les utilisateurs en erreur en leur faisant croire qu'ils accèdent à un service authentique, ce qui permet aux pirates de voler leurs actifs. En outre, certains escrocs peuvent exploiter les plateformes de médias sociaux, les forums ou les applications de messagerie instantanée en se faisant passer pour un service client ou un administrateur de communauté, envoyant aux utilisateurs de faux messages exigeant qu'ils fournissent leurs informations de portefeuille ou leur clé privée. Cette méthode exploite la confiance des utilisateurs envers les entités officielles afin de les amener à divulguer leurs données personnelles.
En résumé, ces cas illustrent clairement la menace que représente le phishing pour les utilisateurs de portefeuilles Web3. Afin d'aider les utilisateurs à renforcer leur vigilance concernant la sécurité d'utilisation des portefeuilles Web3 et à protéger leurs actifs contre toute perte, TechFlow a mené une enquête approfondie au sein des communautés et recueilli de nombreux cas de phishing subis par les utilisateurs de portefeuilles Web3. Sur cette base, nous avons identifié les quatre scénarios types de phishing les plus couramment rencontrés, et rédigé un guide complet illustré par des exemples concrets détaillés selon différents contextes, afin d’aider les utilisateurs à effectuer des transactions sécurisées sur Web3. Ce guide est mis à disposition à titre informatif.
Sources malveillantes d’informations
1. Réponses sous les tweets de projets populaires
Les réponses sous les publications Twitter de projets populaires constituent l'une des principales méthodes de diffusion d'informations malveillantes. Les comptes Twitter frauduleux peuvent imiter parfaitement les comptes officiels, reproduisant même le logo, le nom, le badge de vérification, voire atteindre des dizaines de milliers d'abonnés. La seule différence repose sur le pseudonyme Twitter (handle), notamment l’utilisation de caractères similaires. Il est impératif que les utilisateurs restent extrêmement vigilants.

Par ailleurs, il arrive fréquemment que des faux comptes répondent intentionnellement aux messages officiels, incluant dans leur réponse un lien malveillant. Les utilisateurs peuvent aisément être induits en erreur, croyant qu'il s'agit d'un lien officiel, et tomber ainsi dans le piège. Actuellement, certains comptes officiels ajoutent désormais à leurs tweets un message « End of Tweet » pour rappeler aux utilisateurs de se méfier des liens potentiellement frauduleux figurant dans les commentaires suivants.

2. Piratage de comptes Twitter/Discord officiels
Afin d'accroître leur crédibilité, les fraudeurs vont jusqu'à pirater les comptes Twitter ou Discord officiels de projets ou d'influenceurs (KOLs) pour publier des liens malveillants. De nombreux utilisateurs s'y laissent facilement prendre. Par exemple, le compte Twitter de Vitalik ou celui du projet TON ont déjà été piratés, permettant aux escrocs de diffuser de fausses informations ou des liens de phishing.


3. Publicités Google Search
Les pirates peuvent également utiliser les publicités Google Search pour diffuser des liens malveillants. Bien que le nom affiché dans le navigateur semble correspondre à un domaine officiel, le clic redirige vers un lien de phishing.

4. Applications falsifiées
Les fraudeurs peuvent également induire les utilisateurs en erreur via des applications falsifiées. Par exemple, lorsque l'utilisateur télécharge et installe un faux portefeuille publié par un pirate, sa clé privée peut être compromise, entraînant la perte de ses actifs. Certains escrocs ont modifié des paquets d'installation Telegram afin de modifier les adresses blockchain utilisées pour envoyer ou recevoir des jetons, provoquant ainsi la perte d'actifs des utilisateurs.


5. Mesures de protection : OKX Web3 détecte les liens de phishing et alerte les risques
Actuellement, le portefeuille OKX Web3 propose une fonction de détection des liens de phishing et d'alerte des risques afin d'aider les utilisateurs à mieux faire face à ces problèmes. Par exemple, lorsqu’un utilisateur utilise le portefeuille plugin OKX Web3 pour naviguer sur Internet, s’il accède à un domaine connu comme malveillant, une alerte apparaît immédiatement. De plus, si l’utilisateur accède via l’application OKX Web3 à une DApp tierce depuis l’interface Discover, le portefeuille effectue automatiquement une analyse de risque du domaine ; si celui-ci est jugé malveillant, l’accès est bloqué et un avertissement est affiché.


Sécurité des clés privées du portefeuille
1. Interactions avec des projets ou vérifications d’éligibilité
Lorsque les utilisateurs interagissent avec un projet ou tentent de valider leur éligibilité, les fraudeurs peuvent imiter la fenêtre contextuelle d’un portefeuille plugin ou toute autre page web, demandant à l’utilisateur de saisir sa phrase de récupération ou sa clé privée. Ces pages sont presque toujours malveillantes, et les utilisateurs doivent donc rester très vigilants.


2. Usurpation du service client ou administrateur du projet
Les pirates se font fréquemment passer pour le service client d’un projet ou un administrateur Discord, et fournissent un lien où ils demandent aux utilisateurs de saisir leur phrase de récupération ou leur clé privée. Dans ce cas, il s'agit sans aucun doute d'une tentative de phishing.


3. Autres vecteurs possibles de fuite de la phrase de récupération / clé privée
Il existe de nombreuses façons par lesquelles la phrase de récupération ou la clé privée d’un utilisateur peut fuiter. Parmi les causes courantes figurent : l’infection de l’ordinateur par un logiciel malveillant, l’utilisation d’un navigateur à empreinte digitale pour faire du farming, l’utilisation d’outils de contrôle à distance ou de proxy, la sauvegarde par capture d’écran de la phrase de récupération/clé privée dont l'image est ensuite transférée par une application malveillante, la sauvegarde dans le cloud compromis par une intrusion, la surveillance pendant la saisie de la phrase ou de la clé, l’accès physique par une personne proche au fichier ou au papier contenant la clé, ou encore le fait que des développeurs poussent accidentellement du code contenant la clé privée vers GitHub, etc.
En résumé, les utilisateurs doivent stocker et utiliser leur phrase de récupération et leur clé privée de manière sécurisée afin de mieux protéger leurs actifs. À titre d'exemple, le portefeuille autogéré et décentralisé OKX Web3 propose désormais plusieurs modes de sauvegarde de la phrase de récupération / clé privée — iCloud/Google Drive, manuel, matériel — devenant ainsi l'un des portefeuilles les plus complets du marché en matière de solutions de sauvegarde, offrant aux utilisateurs des options de stockage sécurisées. Concernant la protection contre le vol de clés privées, OKX Web3 prend en charge les fonctions complètes des principaux portefeuilles matériels tels que Ledger, Keystone et Onekey. Avec ces dispositifs, la clé privée est stockée directement dans le matériel, entièrement contrôlé par l'utilisateur, garantissant ainsi la sécurité des actifs. Cela permet aux utilisateurs d'utiliser un portefeuille matériel pour gérer leurs actifs en toute sécurité tout en participant librement aux échanges de jetons sur la blockchain, aux marchés NFT et aux diverses interactions avec des dApps. En outre, OKX Web3 a lancé un portefeuille sans clé basé sur MPC (calcul multipartite sécurisé) ainsi qu’un portefeuille intelligent de type AA (compte abstrait), aidant les utilisateurs à simplifier davantage la gestion de leurs clés privées.
Les 4 scénarios classiques de phishing
Scénario 1 : Vol de jetons natifs de la chaîne
Les fraudeurs donnent souvent à leurs fonctions de contrat malveillant des noms trompeurs comme Claim, SeurityUpdate, alors que la logique réelle de la fonction est vide, ne transférant que les jetons natifs de l’utilisateur. Actuellement, le portefeuille OKX Web3 intègre une fonction d’exécution préalable des transactions, affichant les changements prévus des actifs et autorisations après validation sur la blockchain, permettant ainsi d’avertir davantage l’utilisateur. En outre, si le contrat interagi ou l’adresse autorisée est connue comme malveillante, un avertissement rouge est affiché.


Scénario 2 : Transfert vers une adresse similaire
Lorsqu’un gros transfert est détecté, les fraudeurs génèrent une adresse ayant les mêmes premiers caractères que celle du destinataire, puis effectuent un transfert de 0 unité via transferFrom, ou un petit montant via un faux USDT, polluant ainsi l'historique des transactions de l'utilisateur. Le but est que l’utilisateur copie par erreur cette mauvaise adresse ultérieurement, aboutissant à une arnaque.
https://www.oklink.com/cn/trx/address/TT3irZR6gVL1ncCLXH3PwQkRXUjFpa9itX/token-transfer

https://tronscan.org/#/transaction/27147fd55e85bd29af31c00e3d878bc727194a377bec98313a79c8ef42462e5f


Scénario 3 : Autorisation sur la blockchain
Les fraudeurs incitent souvent les utilisateurs à signer des transactions approve / increaseAllowance / decreaseAllowance / setApprovalForAll, ou à mettre à niveau en utilisant Create2 pour générer une nouvelle adresse prédéterminée, contournant ainsi les systèmes de détection. Le portefeuille OKX Web3 affiche un avertissement de sécurité pour toute transaction d’autorisation, rappelant à l’utilisateur de rester vigilant. Si l’adresse autorisée est connue comme malveillante, un avertissement rouge est affiché pour éviter que l’utilisateur ne soit victime d’une arnaque.


Scénario 4 : Signature hors chaîne (off-chain)
Outre l'autorisation sur la blockchain, les fraudeurs utilisent aussi la signature hors chaîne pour piéger les utilisateurs. Par exemple, l'autorisation ERC20 permet à un utilisateur d'autoriser une autre adresse ou un contrat à transférer ses actifs via transferFrom. Les escrocs exploitent précisément cette fonctionnalité. Actuellement, OKX Web3 développe une fonction d'alerte pour ces cas : lorsque l'utilisateur signe une transaction hors chaîne, le système analyse l'adresse autorisée, et si elle correspond à une adresse malveillante connue, un avertissement de risque est affiché.


Autres scénarios de phishing
Scénario 5 : Permissions de compte TRON
Ce type de scénario est assez abstrait. Généralement, les fraudeurs obtiennent les permissions du compte TRON de l’utilisateur afin de contrôler ses actifs. La configuration des permissions sur TRON est similaire à celle d’EOS, divisée en deux niveaux : Owner (propriétaire) et Active (actif), pouvant être configurées avec un système de seuil similaire à une multisignature. Par exemple, un seuil Owner de 2 avec deux adresses ayant respectivement un poids de 1 et 2, la première étant l’adresse de l’utilisateur (poids 1), ne pouvant pas agir seule sur le compte.
https://tronscan.org/#/wallet/permissions
https://www.oklink.com/trx/tx/1fe56345873425cf93e6d9a1f0bf2b91846d30ca7a93080a2ad69de77de5e45f


Scénario 6 : Permissions de jeton et de compte Solana
Les fraudeurs modifient via SetAuthority la propriété du compte ATA du jeton, équivalent à un transfert du jeton vers une nouvelle adresse propriétaire. Une fois victime de cette méthode, l’utilisateur voit ses actifs transférés au fraudeur. De plus, si l’utilisateur signe une transaction Assign, le propriétaire de son compte passe du programme système à un contrat malveillant.



Scénario 7 : Appel à queueWithdrawal sur EigenLayer
En raison de certaines failles inhérentes au design du protocole, cette fonctionnalité peut être facilement exploitée par des fraudeurs. Le protocole intermédiaire Ethereum EigenLayer propose une fonction queueWithdrawal qui permet de désigner une autre adresse comme « withdrawer ». Si un utilisateur est victime d’un phishing et signe cette transaction, sept jours plus tard, l’adresse désignée peut retirer les actifs mis en gage de l’utilisateur via completeQueuedWithdrawal.
Explorer le monde blockchain en mettant la sécurité en premier
Utiliser un portefeuille Web3 de manière sécurisée est une mesure cruciale pour protéger ses actifs. Les utilisateurs doivent impérativement adopter des mesures préventives contre les risques potentiels. Ils peuvent choisir un portefeuille reconnu dans l’industrie et ayant subi des audits de sécurité, tel que le portefeuille OKX Web3, pour explorer le monde blockchain de façon plus sûre et pratique.
Portefeuille le plus avancé et le plus complet du secteur, OKX Web3 est entièrement décentralisé et autogéré, permettant aux utilisateurs d'accéder facilement à toutes les applications blockchain. Il prend désormais en charge plus de 85 blockchains, avec une interface unifiée entre application mobile, extension navigateur et version web, couvrant cinq grands domaines : portefeuille, DEX, DeFi, marché NFT et découverte de DApps, et supporte également le marché Ordinals, les portefeuilles MPC et AA (smart contract accounts), l'échange de Gas, et la connexion à des portefeuilles matériels. En outre, les utilisateurs peuvent renforcer la sécurité de leur portefeuille en protégeant soigneusement leur clé privée et leur phrase de récupération, en mettant régulièrement à jour l’application et le système d’exploitation, en étant prudents face aux liens et messages reçus, et en activant l’authentification multifacteur.
En somme, dans le monde blockchain, la sécurité des actifs prime avant tout.
Les utilisateurs doivent se souvenir de ces trois règles fondamentales de sécurité Web3 : ne jamais saisir sa phrase de récupération ou sa clé privée sur une page web, cliquer avec prudence sur le bouton « Confirmer » dans l’interface de transaction du portefeuille, et garder à l’esprit que tout lien provenant de Twitter, Discord ou des moteurs de recherche pourrait être un lien de phishing.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














