
Spécial Sécurité 03 | OKX Web3 & WTF Academy : Un instant on farme assidûment, le suivant on se fait hacker ?
TechFlow SélectionTechFlow Sélection

Spécial Sécurité 03 | OKX Web3 & WTF Academy : Un instant on farme assidûment, le suivant on se fait hacker ?
Invitation d'un expert de sécurité renommé dans le secteur, 0xAA, ainsi que de l'équipe de sécurité du portefeuille Web3 d'OKX, pour aborder sous un angle pratique les risques courants auxquels sont confrontés les « farmers » et les mesures préventives à adopter.
Introduction
OKX Web3 Wallet a spécialement conçu la rubrique « Dossier Sécurité », offrant des réponses détaillées sur différents types de problèmes de sécurité en chaîne. À travers des cas réels arrivés aux utilisateurs, en collaboration avec des experts ou institutions du domaine de la sécurité, cette rubrique propose une double perspective d’analyse et de conseils afin d’établir progressivement des règles claires pour des transactions sécurisées. L’objectif est de renforcer l’éducation à la sécurité des utilisateurs tout en les aidant à mieux protéger leur clé privée et leurs actifs numériques.
Les opérations de farming sont rapides et audacieuses, mais le niveau de sécurité serait-il inférieur à -5 ?
En tant qu’utilisateur fréquent des interactions en chaîne, pour les farmers, la sécurité passe avant tout.
Aujourd’hui, deux grands spécialistes incontestés des « pièges en chaîne » vous expliquent comment mettre en place efficacement votre protection.
Il s’agit du troisième numéro du Dossier Sécurité. Nous avons invité un expert reconnu du secteur, 0xAA, ainsi que l’équipe de sécurité d’OKX Web3 Wallet, qui partageront depuis une approche pratique les risques courants auxquels sont exposés les farmers ainsi que les mesures préventives associées.

WTF Academy : Merci beaucoup à OKX Web3 pour cette invitation. Je suis 0xAA de WTF Academy. WTF Academy est une université open source dédiée à Web3, qui aide les développeurs à débuter dans le développement Web3. Cette année, nous avons lancé RescuETH (équipe de secours en chaîne), un projet de sauvetage Web3 axé sur la récupération des actifs restants dans les portefeuilles piratés. À ce jour, nous avons réussi à sauver plus de 3 millions de yuans chinois d’actifs volés sur Ethereum, Solana et Cosmos.
Équipe de sécurité d’OKX Web3 Wallet : Bonjour à tous, ravis de pouvoir partager nos connaissances aujourd’hui. L’équipe de sécurité d’OKX Web3 Wallet est principalement chargée du développement des capacités de sécurité dans le domaine Web3 d’OKX, notamment la sécurité des portefeuilles, l’audit de contrats intelligents, la surveillance de projets en chaîne, etc. Nous fournissons aux utilisateurs une protection multiple en matière de produits, de fonds et de transactions, contribuant ainsi à la préservation de l’écosystème global de sécurité de la blockchain.
Q1 : Veuillez partager quelques cas réels illustrant les risques encourus par les farmers
WTF Academy : La fuite de clés privées constitue un risque majeur pour les utilisateurs pratiquant le farming. En effet, une clé privée est une série de caractères permettant de contrôler des actifs cryptographiques. Toute personne ayant accès à cette clé peut en prendre le contrôle total. Une fois la clé compromise, un attaquant peut accéder, transférer et gérer les actifs sans autorisation, entraînant des pertes financières. Voici donc quelques exemples concrets de vols de clés privées.
Alice (nom fictif) a été induite en erreur sur les réseaux sociaux, téléchargeant un logiciel malveillant qui a conduit au vol de sa clé privée. Les formes de logiciels malveillants sont nombreuses : scripts d’exploitation minière, jeux, logiciels de visioconférence, scripts de farming automatisés, robots de trading, etc. Il est essentiel que les utilisateurs renforcent leur vigilance.
Bob (nom fictif) a accidentellement publié sa clé privée sur GitHub, ce qui a permis à un tiers de l’obtenir, entraînant le vol de ses fonds.
Carl (nom fictif) a contacté le support officiel d’un projet via Telegram. Un faux service client s’est fait passer pour le vrai et a réussi à obtenir sa phrase de récupération (mnémonique). Peu après, tous les actifs de son portefeuille ont été vidés.
Équipe de sécurité d’OKX Web3 Wallet : Ces cas sont nombreux. Nous en avons sélectionné quelques-uns particulièrement représentatifs des situations rencontrées par les farmers.
Premier cas : fausses distributions via des comptes usurpés. L’utilisateur A consultait le fil Twitter d’un projet populaire et a remarqué, sous un tweet officiel, une annonce concernant un airdrop. Il a cliqué sur le lien indiqué pour participer, se faisant alors phisher. De nombreux escrocs créent des comptes ressemblant fortement aux comptes officiels et publient de fausses annonces en dessous des tweets légitimes afin d’attirer les utilisateurs. Il convient donc d’être vigilant et de toujours vérifier l’authenticité des sources.
Deuxième cas : prise de contrôle de comptes officiels. Le compte Twitter et le serveur Discord officiels d’un projet ont été piratés. Les hackers ont ensuite publié un lien vers une fausse campagne d’airdrop. Comme le message provenait d’un canal officiel, l’utilisateur B n’a pas douté de sa légitimité. Après avoir cliqué sur le lien pour participer, il s’est fait phisher.
Troisième cas : projet malveillant. L’utilisateur C a participé à une activité de minage sur un projet donné. Pour maximiser ses gains, il a investi tous ses actifs USDT dans le contrat de staking du projet. Or, ce contrat intelligent n’avait ni été audité ni rendu public. Le promoteur a exploité une porte dérobée intégrée au contrat pour dérober tous les actifs déposés par l’utilisateur C.
Pour les farmers, qui peuvent posséder des dizaines, voire des centaines de portefeuilles, la protection de ces derniers et de leurs actifs est un sujet crucial exigeant une vigilance constante et un renforcement continu de la sensibilisation aux risques.
Q2 : En tant qu’utilisateurs fréquents, quels sont les risques courants auxquels les farmers s’exposent lors d’interactions en chaîne, et quelles en sont les contre-mesures ?
WTF Academy : Pour les farmers, comme pour tous les utilisateurs Web3, les deux risques les plus courants actuellement sont les attaques de phishing et les fuites de clés privées.
Premier type : attaque de phishing. Les hackers se font passer pour des sites ou applications officiels, trompent les utilisateurs via les réseaux sociaux ou les moteurs de recherche, les incitant à cliquer sur des liens frauduleux. Sur ces sites piégés, ils poussent les utilisateurs à effectuer des transactions ou des signatures, obtenant ainsi l’autorisation de transfert de jetons, puis volent les actifs.
Contre-mesures : premièrement, il est recommandé aux utilisateurs de ne naviguer que via les canaux officiels (par exemple, les liens figurant dans la bio du compte Twitter officiel). Deuxièmement, utiliser des extensions de sécurité capables de bloquer automatiquement certains sites de phishing. Troisièmement, en cas de doute sur un site, consulter un expert en sécurité pour évaluer s’il s’agit d’un site frauduleux.
Deuxième type : fuite de clé privée. Déjà abordé précédemment, nous n’y reviendrons pas ici.
Contre-mesures : premièrement, si votre ordinateur ou téléphone contient un portefeuille, évitez absolument de télécharger des logiciels suspects en dehors des sources officielles. Deuxièmement, retenez bien que le service client officiel ne vous contactera jamais en message privé, encore moins pour vous demander de fournir votre clé privée ou votre phrase mnémonique, ou de les saisir sur un site frauduleux. Troisièmement, si votre projet open source nécessite l’utilisation d’une clé privée, configurez correctement le fichier .gitignore pour éviter toute publication accidentelle sur GitHub.
Équipe de sécurité d’OKX Web3 Wallet : Nous avons recensé cinq catégories principales de risques courants lors des interactions en chaîne, accompagnées de mesures préventives spécifiques.
1. Arnaques aux airdrops
Description du risque : de nombreux utilisateurs découvrent soudainement dans leur portefeuille des quantités importantes de jetons inconnus. Ces jetons échouent souvent à être échangés sur les DEX habituels, affichant un message les redirigeant vers un « site officiel ». En procédant à l’autorisation de transaction sur ce site, les utilisateurs accordent involontairement au contrat intelligent le droit de transférer tous leurs actifs, menant ainsi au vol total de leurs fonds. Par exemple, l’arnaque Zape : de nombreux utilisateurs ont reçu subitement d’énormes quantités de jetons Zape, dont la valeur semblait atteindre plusieurs dizaines de milliers de dollars. Beaucoup pensaient avoir fait fortune. En réalité, il s’agissait d’un piège sophistiqué. Étant donné que ces jetons n’étaient pas disponibles sur les plateformes classiques, les utilisateurs pressés de les vendre se rendaient sur un prétendu « site officiel ». Après avoir connecté leur portefeuille, ils autorisaient la transaction — et perdaient instantanément tous leurs actifs.
Mesures préventives : soyez extrêmement vigilant face aux airdrops. Vérifiez toujours la source de l’information, et n’utilisez que les canaux officiels (site web officiel du projet, comptes sociaux certifiés, communiqués officiels). Protégez soigneusement votre clé privée et votre phrase mnémonique, ne payez aucun frais, et utilisez les outils et la communauté pour identifier les potentiels arnaques.
2. Contrats intelligents malveillants
Description du risque : de nombreux contrats non audités ou non open source peuvent contenir des failles ou des portes dérobées, compromettant la sécurité des fonds des utilisateurs.
Mesures préventives : interagissez uniquement avec des contrats ayant fait l’objet d’audits rigoureux par des sociétés spécialisées, ou vérifiez attentivement les rapports d’audit de sécurité. En général, les projets proposant un programme de bug bounty offrent un meilleur niveau de sécurité.
3. Gestion des autorisations
Description du risque : accorder trop d’autorisations à un contrat peut conduire au vol de fonds. Illustration : 1) Si le contrat est mis à jour, et que la clé privée du compte privilégié est compromise, un attaquant peut transformer le contrat en version malveillante et voler les actifs des utilisateurs autorisés. 2) Si le contrat comporte des vulnérabilités inconnues, une autorisation excessive permettrait à un attaquant d’exploiter ces failles à l’avenir.
Mesures préventives : accordez uniquement les autorisations strictement nécessaires, et vérifiez régulièrement pour annuler celles qui ne sont plus utiles. Avant de signer une autorisation hors chaîne (permit), assurez-vous de comprendre clairement le contrat cible, le type d’actif et le montant autorisé. Réfléchissez bien avant d’agir.
4. Autorisations de phishing
Description du risque : cliquer sur un lien malveillant et être induit en erreur pour accorder des permissions à un contrat ou utilisateur malveillant.
Mesures préventives : 1) Évitez le « blind signing » : avant de signer toute transaction, assurez-vous de comprendre exactement ce que vous signez, chaque étape devant être claire et justifiée. 2) Soyez prudent avec les destinataires d’autorisation : si le bénéficiaire est un compte externe (EOA) ou un contrat non vérifié, méfiez-vous. Un contrat non vérifié pourrait contenir du code malveillant. 3) Utilisez un portefeuille avec protection anti-phishing : des extensions telles qu’OKX Web3 Wallet peuvent aider à détecter et bloquer les liens malveillants. 4) Protégez votre phrase mnémonique et votre clé privée : tout site vous demandant ces informations est frauduleux. Ne les saisissez jamais sur un site ou une application.
5. Scripts de farming malveillants
Description du risque : exécuter un script de farming malveillant peut installer un cheval de Troie sur votre ordinateur, entraînant le vol de votre clé privée.
Mesures préventives : soyez très prudent en exécutant des scripts ou logiciels de farming provenant de sources inconnues.
En résumé, nous espérons que les utilisateurs feront preuve de la plus grande prudence lors de leurs interactions en chaîne, et sauront protéger efficacement leurs portefeuilles et leurs actifs.
Q3 : Pouvez-vous dresser un panorama des types classiques de phishing, de leurs méthodes, et expliquer comment les reconnaître et les éviter ?
WTF Academy : J’aimerais répondre à cette question sous un angle différent : une fois que l’utilisateur constate que ses actifs ont été volés, comment distinguer entre une attaque de phishing et une fuite de clé privée/mnémonique ? On peut généralement s’appuyer sur les caractéristiques suivantes :
1. Caractéristiques du phishing : les hackers utilisent généralement un site frauduleux pour obtenir l’autorisation de transfert d’un ou plusieurs actifs sur un seul portefeuille, puis volent ces actifs. Habituellement, le nombre de types d’actifs volés correspond au nombre d’autorisations données sur le site piégé.
2. Caractéristiques de la fuite de clé privée / mnémonique : les hackers obtiennent le contrôle total de tous les actifs sur toutes les blockchains d’un ou plusieurs portefeuilles. Les indices suivants (un ou plusieurs) permettent d’identifier une probable fuite de clé :
1) Vol du jeton natif (ex. ETH sur Ethereum), car celui-ci ne peut pas être transféré par autorisation.
2) Vol d’actifs sur plusieurs blockchains.
3) Vol d’actifs sur plusieurs portefeuilles.
4) Vol de multiples actifs sur un même portefeuille, alors que l’utilisateur est certain de n’avoir rien autorisé.
5) Absence d’autorisation (événement Approval) avant ou durant le vol du jeton.
6) Le gaz transféré est immédiatement retiré par le hacker.
Si aucun de ces critères n’est rempli, il s’agit probablement d’une attaque de phishing.
Équipe de sécurité d’OKX Web3 Wallet : Pour éviter le phishing, deux points sont essentiels : 1) Ne saisissez jamais votre phrase mnémonique ou clé privée sur aucun site web ; 2)
Assurez-vous de toujours accéder à des liens officiels, et cliquez avec prudence sur les boutons de confirmation dans l’interface du portefeuille.
Voici maintenant quelques scénarios classiques de phishing, pour mieux vous aider à les reconnaître.
1. Phishing par site falsifié : imitation d’un site DApp officiel, incitant l’utilisateur à entrer sa clé privée ou sa phrase mnémonique. Règle fondamentale : ne communiquez jamais votre clé privée ou mnémonique à quiconque ou sur quelque site que ce soit. Vérifiez attentivement l’URL, privilégiez les favoris officiels pour vos DApps habituels, et utilisez des portefeuilles fiables comme OKX Web3 Wallet, qui alerte automatiquement sur les sites de phishing détectés.
2. Vol du jeton principal : fonctions malveillantes dans un contrat nommées « Claim », « SecurityUpdate », « AirDrop », etc., semblant légitimes, mais dont la logique réelle consiste uniquement à transférer le jeton natif de l’utilisateur.

3. Adresse similaire : les fraudeurs génèrent des adresses similaires à celles d’un contact, avec des premiers et derniers caractères identiques. Ils utilisent transferFrom pour effectuer un transfert de 0 unité (empoisonnement), ou envoient de faux USDT, polluant ainsi l’historique des transactions de l’utilisateur dans l’espoir qu’il copie par erreur cette fausse adresse lors d’un transfert ultérieur.
4. Faux service client : les hackers s’infiltrent via les réseaux sociaux ou par e-mail, se faisant passer pour le support technique, et demandent la clé privée ou la phrase mnémonique. Le vrai service client n’effectue jamais de tels demandes. Ignorez systématiquement ces messages.
Q4 : Quelles sont les précautions à prendre par les farmers expérimentés lorsqu’ils utilisent divers outils techniques ?
WTF Academy : Étant donné la grande variété d’outils utilisés par les farmers, il est crucial de renforcer la sécurité lors de leur utilisation :
1. Sécurité du portefeuille : veillez à ne jamais divulguer votre clé privée ou phrase mnémonique, évitez de les stocker dans des endroits non sécurisés, et surtout, ne les saisissez jamais sur des sites non fiables. Sauvegardez-les dans un lieu sûr (périphérique hors ligne ou stockage cloud chiffré). Pour les portefeuilles contenant des actifs importants, envisagez un portefeuille multisignature pour plus de sécurité.
2. Prévention du phishing : vérifiez toujours soigneusement l’URL avant de visiter un site. Évitez les liens provenant de sources inconnues. Obtenez les liens de téléchargement et les informations uniquement depuis les sites officiels ou les réseaux sociaux certifiés, jamais via des tiers.
3. Sécurité logicielle : installez et mettez à jour un antivirus pour protéger contre les logiciels malveillants. Mettez régulièrement à jour votre portefeuille et autres outils blockchain afin de bénéficier des correctifs de sécurité les plus récents. Évitez les navigateurs à empreinte digitale (fingerprint browsers) et les bureaux à distance, qui ont connu de graves failles de sécurité par le passé.
Ces mesures permettent de réduire significativement les risques liés à l’utilisation d’outils variés.
Équipe de sécurité d’OKX Web3 Wallet : Prenons un cas public connu dans l’industrie.
Par exemple, le navigateur BitBrowser, offrant des fonctionnalités comme la gestion multi-comptes, la désassociation de fenêtres et la simulation d’appareils distincts, a séduit de nombreux utilisateurs. Toutefois, une série d’incidents de sécurité en août 2023 ont révélé ses risques cachés. En particulier, la fonctionnalité « synchronisation des données des extensions » permettait aux utilisateurs de transférer leurs données vers un serveur cloud, puis de les restaurer sur un nouvel appareil via un mot de passe. Bien que pratique, cette fonction comporte un danger : les hackers ont pu pirater le serveur, extraire les données des portefeuilles, puis, par force brute, retrouver les mots de passe et accéder aux portefeuilles. Selon les logs, le serveur contenant les caches d’extensions a été illégalement téléchargé début août (dernier enregistrement daté du 2 août). Cet incident rappelle que, derrière la commodité, se cache parfois un risque majeur.
Il est donc crucial d’utiliser des outils sûrs et fiables pour éviter piratages et fuites de données. Voici quelques pistes pour améliorer la sécurité :
1. Utilisation du portefeuille matériel : a) Mettez régulièrement à jour le firmware, achetez uniquement via des canaux officiels. b) Utilisez-le sur un ordinateur sécurisé, évitez les connexions en lieu public.
2. Utilisation des extensions de navigateur : a) Soyez prudent avec les extensions tierces, privilégiez les produits fiables comme OKX Web3 Wallet. b) N’utilisez pas votre extension de portefeuille sur des sites non fiables.
3. Utilisation des outils d’analyse de transactions : a) Effectuez vos transactions et interactions via des plateformes de confiance. b) Vérifiez scrupuleusement l’adresse du contrat et la méthode appelée pour éviter toute erreur.
4. Utilisation des équipements informatiques : a) Mettez régulièrement à jour le système et les logiciels pour corriger les failles. b) Installez un antivirus fiable et effectuez des analyses régulières.
Q5 : Comparé à un seul portefeuille, comment les farmers peuvent-ils gérer plus sûrement plusieurs portefeuilles et comptes ?
WTF Academy : Étant donné leur forte fréquence d’interactions en chaîne et la gestion simultanée de multiples portefeuilles, les farmers doivent accorder une attention particulière à la sécurité de leurs actifs.
1. Utilisation de portefeuilles matériels : ils permettent de gérer plusieurs comptes sur un même dispositif, chaque clé privée étant stockée dans l’appareil physique, offrant ainsi une sécurité accrue.
2. Stratégies et environnements séparés : commencez par séparer les usages. Créez différents portefeuilles selon leur finalité (airdrops, transactions, stockage, etc.). Par exemple, un portefeuille chaud pour les opérations quotidiennes et le farming, un portefeuille froid pour le stockage à long terme des actifs précieux. Ainsi, si l’un est compromis, les autres restent intacts.
Ensuite, isolez les environnements : utilisez des appareils différents (téléphone, tablette, ordinateur) pour gérer des portefeuilles distincts, empêchant ainsi qu’un problème de sécurité sur un seul appareil n’affecte tous les portefeuilles.
3. Gestion des mots de passe : attribuez un mot de passe fort à chaque compte, évitez les doublons ou les variantes simples. Vous pouvez utiliser un gestionnaire de mots de passe pour garantir l’unicité et la robustesse de chacun.
Équipe de sécurité d’OKX Web3 Wallet : Gérer plusieurs portefeuilles en toute sécurité représente un défi pour les farmers. Voici quelques axes d’amélioration :
1. Diversification des risques : a) Ne concentrez pas tous vos actifs dans un seul portefeuille. Répartissez-les pour limiter l’impact. Choisissez des types de portefeuilles adaptés à chaque usage (matériel, logiciel, froid, chaud). b) Utilisez un portefeuille multisig pour les gros montants.
2. Sauvegarde et restauration : a) Sauvegardez régulièrement votre phrase mnémonique et vos clés privées, conservez-les à plusieurs endroits sécurisés. b) Utilisez un portefeuille matériel pour le stockage hors ligne et éviter les fuites.
3. Évitez les mots de passe répétés : créez un mot de passe fort et unique pour chaque portefeuille, limitant ainsi les dommages en cas de compromission d’un compte.
4. Activez l’authentification à deux facteurs (2FA) : activez-la partout où possible pour renforcer la sécurité des comptes.
5. Outils d’automatisation : limitez leur usage, surtout ceux qui stockent vos données dans le cloud ou chez des tiers, afin de réduire les risques de fuite.
6. Limiter les accès : n’autorisez que des personnes de confiance à accéder à vos portefeuilles, et restreignez leurs permissions.
7. Vérifiez régulièrement l’état de sécurité : utilisez des outils pour surveiller les transactions, détecter toute anomalie. En cas de fuite de clé privée, changez immédiatement tous vos portefeuilles.
Au-delà de ces points, de nombreuses autres bonnes pratiques existent. Quoi qu’il en soit, il est essentiel d’adopter une approche multidimensionnelle pour protéger vos portefeuilles et actifs, plutôt que de compter sur une seule mesure.
Q6 : Concernant des sujets concrets pour les farmers comme le slippage ou les attaques MEV, quelles sont vos recommandations ?
WTF Academy : Comprendre et se protéger contre le slippage et les attaques MEV est crucial, car ces risques impactent directement le coût des transactions et la sécurité des actifs.
Concernant les attaques ME
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News













