
Analyse des faux portefeuilles et des risques de fuite des mots-clés de la clé privée
TechFlow SélectionTechFlow Sélection

Analyse des faux portefeuilles et des risques de fuite des mots-clés de la clé privée
Ce guide vise à permettre à chaque utilisateur de mieux protéger ses actifs et d'aller plus loin dans la sombre forêt de la blockchain.
Rédaction : Équipe de sécurité SlowMist
Contexte
Les portefeuilles jouent un rôle crucial dans le monde Web3. Ils ne sont pas seulement des outils de stockage d'actifs numériques, mais aussi des instruments essentiels permettant aux utilisateurs d'effectuer des transactions et d'accéder aux DApp. Dans notre précédent guide sur la sécurité en Web3, nous avions principalement présenté les différents types de portefeuilles ainsi que les risques courants, afin d'aider les lecteurs à acquérir une compréhension de base de la sécurité des portefeuilles. Avec la popularisation des cryptomonnaies et des technologies blockchain, les cybercriminels ont également pris pour cible les fonds des utilisateurs Web3. Selon les formulaires de vols reçus par l'équipe de sécurité SlowMist, de nombreux utilisateurs se sont fait voler car ils avaient téléchargé ou acheté de faux portefeuilles. Ainsi, cet article abordera les raisons pour lesquelles des utilisateurs téléchargent ou achètent de faux portefeuilles, les risques liés à la fuite des clés privées ou des phrases de récupération (mnémoniques), et fournira une série de recommandations de sécurité afin d'aider les utilisateurs à protéger leurs fonds.
Téléchargement de faux portefeuilles
De nombreux téléphones ne prennent pas en charge Google Play Store ou rencontrent des problèmes de réseau, ce qui pousse certaines personnes à télécharger des portefeuilles via d'autres canaux, tels que :
Sites de téléchargement tiers
Certains utilisateurs téléchargent des portefeuilles depuis des sites tiers comme apkcombo, apkpure, etc. Ces plateformes affirment souvent que leurs applications sont miroirs de celles disponibles sur Google Play Store. Mais quelle est leur véritable sécurité ? L’équipe de sécurité SlowMist a mené une enquête sur les sources tierces de faux portefeuilles Web3, révélant que les versions de portefeuilles proposées par apkcombo n’existaient en réalité pas. Dès qu’un utilisateur crée ou importe un portefeuille (via sa phrase mnémonique) sur l’interface d’accueil, le faux portefeuille transmet immédiatement ces informations sensibles vers le serveur d’un site phishing.

Moteurs de recherche
Le classement des résultats de recherche peut être acheté, ce qui explique pourquoi certains faux sites officiels apparaissent parfois avant les véritables sites officiels. Il n’est donc pas recommandé aux utilisateurs de rechercher directement un portefeuille via un moteur de recherche puis de cliquer sur les liens bien positionnés, car cela pourrait les diriger vers un faux site officiel et donc vers un faux portefeuille. Sans connaître l’adresse exacte du site officiel, il est très difficile pour un utilisateur de distinguer un faux site d’un vrai, car les escrocs créent des faux sites extrêmement similaires aux sites officiels, presque indiscernables. Par conséquent, il est également déconseillé de cliquer sur des liens partagés par d’autres utilisateurs sur Twitter ou d'autres plateformes sociales — la plupart sont des liens de phishing.

Proches / Arnaque du « élevage de porcs »
Dans la « forêt sombre » de la blockchain, adoptez une politique de zéro confiance. Vos proches peuvent ne pas avoir l’intention de vous nuire, mais le portefeuille qu’ils ont téléchargé pourrait être faux, simplement parce qu’il n’a pas encore été utilisé pour voler. Si vous téléchargez un portefeuille via un code QR ou un lien qu’ils partagent, vous risquez également d’obtenir un faux portefeuille.
L’équipe SlowMist a reçu de nombreux rapports de victimes d’arnaques du type « élevage de porcs ». La tactique habituelle des fraudeurs consiste à gagner la confiance de la victime, puis à l’inciter à investir dans des cryptomonnaies tout en lui envoyant un lien de téléchargement d’un faux portefeuille. À la fin, la victime perd non seulement de l’argent, mais aussi émotionnellement. Les utilisateurs doivent donc rester vigilants face aux internautes, surtout lorsqu’ils vous poussent à investir ou vous envoient des liens suspects. Ne faites jamais confiance aveuglément.


Telegram
Sur Telegram, en cherchant des portefeuilles populaires, nous avons découvert plusieurs groupes prétendant être des chaînes officielles. Les escrocs se font passer pour des représentants officiels et vont même jusqu’à rappeler aux membres du groupe de ne reconnaître qu’un seul lien officiel — qui s’avère toujours être un lien frauduleux.

Boutiques d’applications
Il convient de souligner que les applications disponibles sur les boutiques officielles ne sont pas nécessairement sûres. Certains malveillants utilisent des techniques telles que l’achat de mots-clés pour rediriger le trafic vers des applications frauduleuses. Nous exhortons donc tous les lecteurs à faire preuve de discernement.

Comment les utilisateurs peuvent-ils éviter de télécharger un faux portefeuille ?
Téléchargement depuis le site officiel
La capacité à identifier un véritable site officiel est utile non seulement lors du téléchargement d’un portefeuille, mais aussi plus tard lors de la participation à des projets Web3. Expliquons donc comment trouver le bon site officiel.
Un utilisateur pourrait penser à rechercher directement le projet sur Twitter, puis juger de son authenticité selon le nombre de followers, la date d’inscription, ou la présence d’un badge bleu ou doré. Cependant, tous ces éléments peuvent être falsifiés. Nous avons déjà traité ce sujet dans notre article Vrai ou faux projet | Attention aux comptes de phishing dans les commentaires, où nous avons exposé le marché noir des faux comptes certifiés. Nous conseillons donc aux nouveaux venus de suivre d’abord sur Twitter des entreprises de sécurité, des experts reconnus ou des médias influents du secteur, et de vérifier si ceux-ci suivent eux-mêmes le compte officiel en question.

(https://twitter.com/DefiLlama)
Grâce à cette méthode, l’utilisateur aura probablement trouvé le vrai compte Twitter officiel. Toutefois, une vérification croisée reste indispensable, car les comptes officiels sont régulièrement piratés, et les hackers remplacent souvent le lien officiel par un faux. Il est donc essentiel de comparer le lien trouvé avec ceux fournis par d’autres sources fiables comme DefiLlama, CoinGecko ou CoinMarketCap :

(https://defillama.com/)

(https://landing.coingecko.com/links/)
Une fois le lien officiel confirmé, nous recommandons vivement de l’enregistrer dans vos favoris. Cela vous permettra d’y accéder directement la prochaine fois, sans avoir à le rechercher ni à le valider à nouveau, réduisant ainsi fortement le risque de tomber sur un faux site.
Boutiques d'applications
Vous pouvez télécharger des portefeuilles via des boutiques officielles comme Apple Store ou Google Play Store. Avant le téléchargement, vérifiez toujours les informations du développeur pour vous assurer qu’elles correspondent à celles publiées par le développeur officiel. Vous pouvez également consulter la note globale et le nombre de téléchargements de l’application.

Vérification de la version officielle
Certains lecteurs se demandent peut-être maintenant : comment vérifier si le portefeuille téléchargé est authentique ? Vous pouvez effectuer une vérification d'intégrité de fichier, qui consiste à comparer la valeur de hachage (hash) du fichier téléchargé avec celle publiée par l’officiel. Glissez simplement le fichier APK téléchargé dans un outil de vérification de hachage. Cet outil utilise une fonction de hachage (MD5, SHA-256, etc.) pour générer une empreinte unique du fichier. Si cette empreinte correspond à celle fournie par le site officiel, alors le portefeuille est authentique ; sinon, il s’agit d’un faux. Que faire si vous découvrez que votre portefeuille est faux ?
1. Commencez par évaluer l’étendue de la fuite. Si vous avez simplement téléchargé un faux portefeuille sans y entrer votre clé privée ou votre phrase mnémonique, supprimez l’application et téléchargez-en une version officielle.
2. Si vous avez déjà saisi votre clé privée ou votre phrase mnémonique dans le faux portefeuille, cela signifie qu’elles ont été compromises. Téléchargez immédiatement le portefeuille officiel, importez-y vos données, créez une nouvelle adresse et transférez rapidement tous vos actifs transférables.
3. Si malheureusement vos cryptomonnaies ont été volées, nous offrons gratuitement un service d’assistance communautaire pour l’évaluation des cas. Il vous suffit de soumettre un formulaire selon le type d’incident (vol de fonds / arnaque / rançon). Les adresses des hackers seront automatiquement partagées avec le réseau d’intelligence des menaces InMist pour renforcer la prévention des risques. (Note : soumettez le formulaire en chinois à https://aml.slowmist.com/cn/recovery-funds.html, ou en anglais à https://aml.slowmist.com/recovery-funds.html)
Achat de faux portefeuilles matériels
Ce qui précède concerne les faux portefeuilles logiciels. Parlons maintenant des faux portefeuilles matériels.
Certains utilisateurs achètent des portefeuilles matériels via des boutiques en ligne. Or, ces produits vendus par des revendeurs non autorisés présentent de graves risques de sécurité, car on ignore combien de mains ils ont traversées avant d’arriver à l’utilisateur, et si leurs composants internes ont été altérés. Une fois modifiés, ces dispositifs sont quasi impossibles à distinguer d’un point de vue extérieur ou fonctionnel.


(https://www.kaspersky.com/blog/fake-trezor-hardware-crypto-wallet/48155/)
Voici quelques mesures que nous recommandons pour contrer les attaques sur la chaîne d’approvisionnement des portefeuilles matériels :
Acheter via des canaux officiels : C’est la méthode la plus efficace pour éviter les attaques sur la chaîne d’approvisionnement. N’achetez jamais de portefeuille matériel via des canaux non officiels tels que les boutiques en ligne, les intermédiaires ou d’autres utilisateurs.
Vérifier l’apparence : À réception du produit, inspectez soigneusement l’emballage pour détecter toute trace d’ouverture ou de manipulation. C’est une étape basique, bien que les hackers ne se trahissent généralement pas à ce stade.
Vérification officielle du dispositif : Certains portefeuilles matériels proposent un service de vérification d’authenticité via leur site officiel. Lors de l’initialisation, l’appareil invite l’utilisateur à effectuer cette vérification. S’il a été manipulé pendant le transport, il ne pourra pas passer cette vérification.
Mécanisme d’autodestruction en cas d’ouverture : Privilégiez les portefeuilles équipés d’un mécanisme d’autodestruction. Si quelqu’un tente d’ouvrir le dispositif et de modifier ses composants internes, celui-ci effacera automatiquement toutes les informations sensibles contenues dans la puce de sécurité et deviendra inutilisable.
Risques de fuite des clés privées / phrases mnémoniques
Après avoir appris à télécharger ou acheter un vrai portefeuille, vient la question de la sauvegarde sécurisée des clés privées ou des phrases mnémoniques. Ces dernières sont les seuls moyens de restaurer un portefeuille et de contrôler les actifs. Une clé privée est une chaîne hexadécimale de 64 caractères (lettres et chiffres), tandis qu’une phrase mnémonique comprend généralement 12 mots. L’équipe SlowMist rappelle qu’en cas de fuite de la clé privée ou de la phrase mnémonique, les fonds du portefeuille risquent d’être volés. Voici quelques causes fréquentes de fuites :
Confidentialité insuffisante : Certains utilisateurs confient leur clé privée ou leur phrase mnémonique à des proches pour qu’ils les conservent, mais finissent par se faire voler par ces mêmes personnes.
Stockage ou transmission en ligne : Bien que certains sachent qu’il ne faut pas divulguer ces informations, ils les stockent néanmoins via WeChat (favoris), photos, captures d’écran, cloud ou notes. Si le compte de l’utilisateur est compromis, ces données sensibles peuvent être facilement récupérées par des pirates.
Copier-coller des clés ou phrases : De nombreux gestionnaires de presse-papiers ou claviers intelligents envoient automatiquement le contenu du presse-papiers vers le cloud, exposant ainsi les informations sensibles. En outre, des logiciels malveillants peuvent intercepter les données copiées. Il est donc fortement déconseillé de copier-coller ses clés ou phrases mnémoniques — une action apparemment anodine, mais en réalité très risquée.
Alors, comment éviter la fuite des clés privées ou des phrases mnémoniques ?

Premièrement, ne communiquez jamais votre clé privée ou votre phrase mnémonique à personne, pas même à vos proches. Deuxièmement, privilégiez un support physique pour les conserver, afin d’éviter qu’un pirate puisse les obtenir par une attaque numérique. Par exemple, recopiez-les sur du papier de qualité (éventuellement plastifié) ou utilisez une boîte sécurisée dédiée aux phrases mnémoniques. Enfin, envisagez des solutions comme la signature multisignature ou le stockage fragmenté pour renforcer la sécurité. Pour en savoir plus sur la sauvegarde des clés, consultez le Guide d’auto-défense dans la forêt sombre de la blockchain publié par SlowMist.
Conclusion
Cet article a principalement abordé les risques liés au téléchargement ou à l’achat de portefeuilles, les méthodes pour identifier un site officiel et vérifier l’authenticité d’un portefeuille, ainsi que les risques de fuite des clés privées et des phrases mnémoniques. Nous espérons que ce contenu aidera les lecteurs à faire leurs premiers pas en sécurité dans la forêt sombre de la blockchain. Le prochain volet traitera des risques lors de l’utilisation d’un portefeuille, tels que le phishing, les signatures et les autorisations dangereuses — à suivre ! (Remarque : les marques et images mentionnées dans cet article sont uniquement utilisées à titre explicatif et ne constituent aucune recommandation ou garantie.)
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










