
Guide d'introduction à la sécurité Web3 : Éviter le piège du risque de portefeuille multi-signatures malveillant
TechFlow SélectionTechFlow Sélection

Guide d'introduction à la sécurité Web3 : Éviter le piège du risque de portefeuille multi-signatures malveillant
Dans cet épisode, nous prendrons le portefeuille TRON comme exemple pour expliquer les connaissances relatives au phishing multisignature.
Rédaction : Équipe de sécurité SlowMist
Contexte
Dans le précédent article intitulé Guide d'initiation à la sécurité Web3 : éviter les pièges courants, nous avons principalement abordé les risques liés au téléchargement ou à l'achat de portefeuilles, expliqué comment identifier un site officiel et vérifier l'authenticité d'un portefeuille, ainsi que les dangers de fuite des clés privées ou des phrases de récupération (mnémoniques). On dit souvent « Not your keys, not your coins » (Pas vos clés, pas vos cryptomonnaies), mais il existe aussi des situations où, même en possession de sa clé privée ou de sa phrase mnémonique, l'utilisateur ne parvient plus à contrôler ses actifs — notamment lorsque son portefeuille a été malicieusement configuré en multisignature. D’après les formulaires de vols recensés via MistTrack, certains utilisateurs ayant subi une configuration multisig malveillante ne comprennent pas pourquoi, malgré un solde toujours visible dans leur portefeuille, ils sont incapables de transférer leurs fonds. C’est pourquoi, dans cet article, nous allons utiliser le cas du portefeuille TRON pour expliquer les attaques par phishing multisignature : mécanisme du multisig, méthodes habituelles des hackers, et moyens de prévenir la compromission malveillante de votre portefeuille.

Le mécanisme de la multisignature
Commençons par une brève explication du concept de multisignature (multisig). Ce mécanisme est conçu pour renforcer la sécurité d’un portefeuille numérique en permettant à plusieurs utilisateurs de partager le contrôle et les droits d’accès à un même portefeuille. Ainsi, même si certaines clés privées ou phrases mnémoniques sont perdues ou compromises, les actifs restent protégés.
Le système de permissions multisignatures de TRON comporte trois types distincts de permissions : Owner (propriétaire), Witness (témoin) et Active (actif), chacune ayant des fonctions spécifiques.
Permission Owner :
-
Détient les droits maximaux pour exécuter tous les contrats et opérations ;
-
Seule cette permission peut modifier les autres permissions, y compris ajouter ou supprimer des signataires ;
-
Après création d’un compte, cette permission est attribuée par défaut à l’adresse du compte lui-même.
Permission Witness :
Cette permission est principalement associée aux Super Représentants (Super Representatives). Un compte disposant de cette permission peut participer aux élections et votes des Super Représentants, ainsi qu’à la gestion des opérations qui leur sont liées.
Permission Active :
Utilisée pour les opérations quotidiennes telles que les transferts ou l’appel de contrats intelligents. Cette permission peut être définie ou modifiée par la permission Owner, et est souvent attribuée à des comptes devant effectuer des tâches spécifiques. Elle représente un ensemble d’autorisations (par exemple, transfert de TRX, mise en gage d’actifs).
Comme mentionné ci-dessus, lors de la création d’un nouveau compte, l’adresse du compte détient initialement la permission Owner (la plus élevée). Il peut alors ajuster la structure des permissions, décider à quelles adresses accorder ces permissions, définir leurs poids respectifs, et fixer un seuil (threshold). Ce seuil correspond au nombre total de poids requis pour valider une opération donnée. Dans l’exemple ci-dessous, le seuil est fixé à 2, et chacune des trois adresses autorisées a un poids de 1. Ainsi, deux signatures suffisent pour que l’opération soit exécutée.

(https://support.tronscan.org/hc/article_attachments/29939335264665)
Processus de multisignature malveillante
Lorsqu’un pirate obtient la clé privée ou la phrase mnémonique d’un utilisateur, s’il constate que le portefeuille n’utilise pas encore la multisignature (c’est-à-dire qu’il est entièrement contrôlé par un seul utilisateur), il peut alors accorder à son propre adresse les permissions Owner ou Active, voire transférer complètement ces permissions à son adresse. Ces deux actions sont généralement appelées « multisignature malveillante », bien qu’il s’agisse là d’un terme générique. En réalité, on peut distinguer deux scénarios selon que l’utilisateur conserve ou non ses permissions Owner/Active :
Utilisation du mécanisme multisignature
Dans l’exemple ci-dessous, les permissions Owner/Active de l’utilisateur n’ont pas été supprimées. Le pirate a simplement ajouté son adresse comme signataire avec les permissions Owner/Active. Le compte est désormais sous contrôle partagé entre l’utilisateur et le pirate (seuil = 2), chaque adresse ayant un poids de 1. Bien que l’utilisateur possède toujours sa clé privée ou sa phrase mnémonique et conserve ses permissions Owner/Active, il ne peut plus transférer ses actifs, car toute tentative de retrait nécessite la signature conjointe des deux adresses.

Bien qu’une opération de retrait exige plusieurs signatures, aucun accord n’est requis pour créditer le portefeuille. Si l’utilisateur ne vérifie pas régulièrement ses paramètres de permission ou n’effectue pas récemment de transfert sortant, il pourrait ne jamais remarquer ce changement et continuer à subir des pertes. Lorsque le solde est faible, le pirate peut adopter une stratégie de long terme, patienter jusqu’à ce que des actifs significatifs soient déposés, puis tout voler d’un coup.
Exploitation du système de gestion des permissions de TRON
Une autre situation consiste à exploiter directement le système de gestion des permissions de TRON, en transférant purement et simplement les permissions Owner/Active de l’utilisateur vers l’adresse du pirate (le seuil reste à 1). Ainsi, l’utilisateur perd totalement ses permissions Owner/Active, y compris tout droit de décision. À noter que, dans ce cas, le pirate n’utilise pas réellement le mécanisme multisig pour bloquer les transferts, mais on désigne couramment cette situation comme une « multisignature malveillante ».

Les deux scénarios aboutissent au même résultat : quelle que soit la conservation ou non des permissions Owner/Active par l’utilisateur, il perd tout contrôle effectif sur son compte. L’adresse du pirate obtient alors les droits maximaux, pouvant modifier les permissions du compte ou transférer les actifs à sa guise.
Voies d’exécution de la multisignature malveillante
À partir des formulaires de vols collectés via MistTrack, nous avons identifié plusieurs causes fréquentes de configuration malveillante en multisignature. Nous invitons les utilisateurs à rester vigilants face aux situations suivantes :
1. Téléchargement d’un faux portefeuille après avoir cliqué sur un lien frauduleux provenant de Telegram, Twitter ou d’un internaute, au lieu d’accéder au site officiel. La clé privée ou la phrase mnémonique est alors compromise, exposant le portefeuille à une configuration malveillante en multisig.

2. Saisie de la clé privée ou de la phrase mnémonique sur des sites de phishing proposant des cartes-cadeaux, des cartes prépayées ou des services VPN, entraînant la perte totale du contrôle du portefeuille.

3. Transactions OTC (Over-The-Counter) pendant lesquelles un tiers photographie ou acquiert illégalement la clé privée ou la phrase mnémonique, ou obtient une autorisation du compte, menant à une configuration malveillante et à la perte d’actifs.

4. Certains escrocs fournissent volontairement leur clé privée ou phrase mnémonique, affirmant ne pas pouvoir retirer les fonds du portefeuille, et proposent une récompense à quiconque réussirait. Bien que les fonds existent réellement sur l’adresse, aucun transfert n’est possible, car les droits de retrait ont été attribués par l’escroc à une autre adresse.

5. Un cas plus rare : l’utilisateur clique sur un lien de phishing sur TRON et signe des données malveillantes, entraînant une configuration malveillante en multisignature.

Conclusion
Dans ce guide, nous avons pris l'exemple du portefeuille TRON pour expliquer le fonctionnement du mécanisme multisignature, les tactiques employées par les pirates pour mettre en œuvre une configuration malveillante, dans le but d’aider les utilisateurs à mieux comprendre ce système et à renforcer leur protection. Par ailleurs, outre les cas de multisignature malveillante, certains nouveaux utilisateurs peuvent accidentellement configurer leur portefeuille en multisig par méconnaissance ou erreur, rendant nécessaire l’accord de plusieurs signatures pour effectuer un transfert. Dans ce cas, il suffit de satisfaire aux conditions de signature ou de rétablir les permissions Owner/Active sur une seule adresse via les paramètres de sécurité, afin de revenir à une configuration simple (single-signature).

Enfin, l’équipe de sécurité SlowMist recommande vivement aux utilisateurs de vérifier régulièrement les permissions de leurs comptes afin de détecter toute anomalie ; de télécharger leurs portefeuilles uniquement depuis les sources officielles (comme expliqué dans notre guide Sécurité Web3 : éviter les faux portefeuilles et les fuites de clés privées), de ne pas cliquer sur des liens suspects ni entrer leur clé privée ou phrase mnémonique n’importe où, et d’installer un logiciel antivirus (tel que Kaspersky, AVG, etc.) ainsi qu’une extension de blocage anti-phishing (comme Scam Sniffer) pour renforcer la sécurité de leurs appareils.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














