
DEXX Apocalypse : les règles de survie sur la chaîne pour traverser l'impasse de sécurité des bots de trading
TechFlow SélectionTechFlow Sélection

DEXX Apocalypse : les règles de survie sur la chaîne pour traverser l'impasse de sécurité des bots de trading
Il y a toujours un compromis entre rendement élevé et sécurité absolue.
Rédaction : SafePal
La « forêt obscure », principe de sociologie cosmique tiré du roman *Le Problème à trois corps*, résume parfaitement l'état actuel du secteur de la sécurité dans Web3 : la blockchain offre un espace immense d'innovation et de possibilités, mais elle ressemble aussi à une « forêt obscure », peuplée de jeux à somme nulle brutaux et sanguinaires, où les investisseurs ordinaires sont souvent des proies désavantagées par l'asymétrie d'information.
Le 16 novembre, plusieurs utilisateurs de la communauté ont signalé un piratage sur la plateforme de trading DEXX. L’analyse post-incident a révélé des failles évidentes dans la gestion des clés privées par DEXX, qui avaient même été transmises et stockées en texte clair. À ce jour, les pertes totales s'élèveraient à plus de 20 millions de dollars selon des estimations partielles.
Dans ce contexte, la question de savoir comment les utilisateurs ordinaires peuvent renforcer leur propre protection sur la chaîne est devenue cruciale. Veronica, cofondatrice et PDG de SafePal, a participé à l’espace Twitter (𝕏) organisé par 137Labs intitulé « Réflexions sur la sécurité après l'incident DEXX : comment éviter les pièges de l'investissement cryptographique », aux côtés d'Andy, fondateur de BlockSec, du trader expérimenté Huisuo Ge, et de OneOne, chercheur chez 137Labs. Ils ont discuté ensemble de l'incident DEXX et donné des conseils pratiques aux investisseurs en cryptomonnaies.
Cet article reprend les points forts de cet échange Twitter Space, soigneusement compilés pour le lecteur.
Le fardeau insoutenable des outils de « frontrunning »
Dans l’investissement cryptographique, rendements élevés et sécurité absolue sont rarement compatibles. Des outils comme DEXX ou Unibot, bien qu’appréciés pour leurs fonctionnalités de suivi automatique et de transfert rapide des fonds, reposent sur une architecture centralisée. Ces solutions exigent que l’utilisateur autorise l’accès à ses fonds ou à son portefeuille, augmentant ainsi significativement les risques.
Les utilisateurs sous-estiment généralement les exigences de sécurité de ces outils. Habituellement confiants envers les grandes bourses, ils négligent les risques liés aux petites plateformes. L’incident DEXX a mis en lumière une vulnérabilité critique dans la gestion des clés privées par certains bots de trading : un véritable portefeuille « non-custodial » devrait garantir que les clés privées ne soient stockées que sur l’appareil de l’utilisateur, et non sur des serveurs centralisés. Même chiffrées, les clés restent exposées au vol si elles ne bénéficient pas d’une protection logicielle avancée (comme TEE ou enclave).
Par ailleurs, la méthode d’attaque était complexe : les pirates ont dispersé les fonds pour compliquer leur traçabilité, rendant le recouvrement quasi impossible. Cela suggère deux scénarios possibles : soit la plateforme a été compromise par une faille technique, soit il y a eu complicité interne ou une infiltration profonde. Dans le second cas, les risques futurs seraient encore plus graves.
Les données de Dune montrent que les cinq bots de trading les plus actifs sont Trojan, BonkBot, Maestro, Banana Gun et Sol Trading Bot, avec chacun un volume hebdomadaire dépassant 100 millions de dollars et plus de 300 000 utilisateurs cumulés. Cette concentration explique pourquoi beaucoup adoptent une mentalité du type « tout gagner ou tout perdre », ignorant les risques considérables.

Source : Dune
Veronica souligne que presque tous ces outils de « frontrunning » sont susceptibles de présenter des risques similaires. Leur capacité à effectuer des transactions ultra-rapides sans signature manuelle constante repose sur un compromis entre vitesse et sécurité :
Qu’il s’agisse de portefeuilles matériels, d’applications ou d’extensions de navigateur, les utilisateurs doivent normalement passer quelques secondes à valider manuellement chaque transaction. Mais pour améliorer la rapidité et l’expérience utilisateur, ces bots sacrifient souvent la sécurité des clés privées afin d’accélérer les exécutions.
Cette conception n’est pas intrinsèquement mauvaise, ni ne signifie que tous ces projets soient dangereux. Toutefois, elle impose aux équipes de développement des exigences extrêmement élevées en matière de sécurité. Si, pour offrir une expérience fluide, une équipe ne dispose pas de solides capacités de défense contre les attaques, les conséquences d’un piratage peuvent être désastreuses, entraînant de lourdes pertes tant pour les utilisateurs que pour la plateforme.
En outre, la plupart des bots de trading actuels présentent un risque majeur : pour permettre un trading automatisé, ils génèrent et conservent souvent les clés privées de chaque utilisateur. Bien que pratique pour le suivi automatique, cette approche expose à un risque élevé. En cas de violation de la plateforme, toutes les clés privées stockées pourraient être compromises, causant des pertes massives.

Source : Page « Gestion du portefeuille » de DEXX
Il existe pourtant une architecture plus sûre, capable d’automatiser les transactions sans utiliser la clé privée de l’utilisateur :
Cette solution repose sur des contrats intelligents qui créent un compte PDA associé au compte utilisateur. Grâce à cela, les transactions peuvent être exécutées sans signature par la clé privée. La plateforme peut utiliser un « compte opérateur » restreint pour exécuter les ordres, mais dont les permissions sont strictement limitées aux opérations de trading, empêchant tout transfert abusif des actifs.
Cette conception basée sur les contrats intelligents améliore nettement la sécurité, car la clé privée reste toujours entre les mains de l’utilisateur et n’est jamais stockée sur un serveur centralisé. Certes, cette approche est plus complexe et exige davantage de compétences techniques et de rigueur de la part de l’équipe, mais elle est entièrement réalisable et bien plus sécurisée.
Actuellement, la majorité des utilisateurs ignorent la différence entre ces deux modèles, ou choisissent la commodité au détriment de la sécurité. Cependant, avec la fréquence croissante des incidents de sécurité, utilisateurs et développeurs pourraient accorder davantage d’importance à des architectures plus sûres. Ce type de conception avancée pourrait progressivement se généraliser, réduisant ainsi les risques d’incidents comme celui de DEXX.
La chaîne de sécurité Web3 : de l’autorisation aux clés privées
OneOne considère que les risques de sécurité sur la chaîne peuvent être divisés en deux grandes catégories, couvrant notamment l'autorisation des transactions et la protection des clés privées.
La première forme courante d’attaque est le « phishing d’approbation ». Par exemple, via des « attaques de poussière », des jetons ou NFTs gratuits sont envoyés à l’utilisateur pour l’inciter à cliquer et à autoriser une transaction. Une telle action peut donner aux attaquants l’accès complet au portefeuille, permettant le vol de cryptomonnaies et de NFTs. Il faut donc faire preuve de vigilance face aux jetons et airdrops inconnus, et éviter d’accorder des autorisations trop facilement.
Les principales méthodes de vol de clé privée sont :
-
Les « logiciels malveillants » : certains prétendent inviter l'utilisateur à tester un nouveau projet, et lui font télécharger un fichier exécutable contenant un cheval de Troie. Une fois installé, la clé privée et le mot de passe du compte peuvent être facilement volés ;
-
L’« attaque par presse-papiers » : les pirates obtiennent via un site piégé l’accès au presse-papiers de l’utilisateur. Lorsque ce dernier copie-colle sa clé privée, les informations sensibles sont interceptées ;
-
Les « attaques par contrôle à distance » : des logiciels malveillants permettent de prendre le contrôle du poste de l’utilisateur, voire de voler directement la clé privée pendant que l’utilisateur dort. Des outils comme les « navigateurs à empreinte digitale », fréquemment utilisés pour collecter des airdrops, impliquent souvent un stockage dans le cloud. S’ils sont compromis, les actifs sont immédiatement menacés. De nombreux utilisateurs n’activent pas l’authentification à deux facteurs (2FA), aggravant encore les risques ;
-
Les « risques liés au clavier » : beaucoup utilisent des claviers intelligents tiers, qui peuvent collecter et stocker les saisies dans le cloud, augmentant ainsi le risque de fuite de clé privée. Il est préférable d’utiliser le clavier intégré au système, moins fonctionnel mais bien plus sûr.
En résumé, lors des transactions sur la chaîne — particulièrement avec les applications DeFi ou les outils de trading — les utilisateurs doivent prendre des mesures supplémentaires de précaution. La gestion des autorisations est un point crucial : le mécanisme d’Ethereum oblige les utilisateurs à accorder des permissions aux contrats intelligents, ce que les attaquants exploitent facilement. Il est donc essentiel de vérifier régulièrement la liste des autorisations accordées et de révoquer celles qui ne sont plus nécessaires, surtout les plus anciennes qui auraient pu être oubliées.
En outre, lors du choix d’une plateforme DeFi, les utilisateurs doivent examiner les mesures de sécurité mises en place : existence d’audits complets, surveillance automatisée continue, mise à jour régulière et correction des vulnérabilités. Lors de l’utilisation d’un bot de trading, il est recommandé de diversifier la gestion des fonds : ne pas conserver de grosses sommes dans un compte contrôlé par un robot de trading, et retirer rapidement les gains vers un portefeuille plus sécurisé, afin de limiter les pertes potentielles.
Huisuo Ge ajoute qu’en tant que trader, comprendre les mécanismes des outils et plateformes est fondamental. Dans l’environnement actuel du trading spéculatif, beaucoup ne cherchent que le frisson des hausses et baisses vertigineuses, ignorant les dangers des outils utilisés. Il est conseillé de configurer des alertes de sécurité, telles qu’un avertissement en cas de vidage du pool ou de liquidation, pour garder le contrôle du risque en temps réel.
Veronica insiste sur un principe simple mais vital : entre rentabilité optimale et sécurité maximale, il y a toujours compromis. La recommandation la plus importante est donc la séparation des fonds : si vous vous retrouvez à perdre le sommeil ou à vérifier constamment votre téléphone à cause de vos positions d’investissement, c’est probablement que vous avez dépassé votre seuil de tolérance au risque.
Quels outils pratiques pour vérifier la sécurité sur la chaîne ?
Veronica recommande aux utilisateurs d’utiliser des petits outils intégrés aux portefeuilles non-custodiaux comme SafePal, notamment la fonction de vérification régulière des autorisations : l’utilisateur peut analyser toutes ses autorisations sur plusieurs chaînes et annuler d’un seul clic celles qui ne sont plus utiles, réduisant ainsi les vecteurs d’attaque potentiels.

Source : Fonction « Approval Manager » de SafePal
Par ailleurs, les escrocs utilisent souvent des transferts minimes pour imiter une adresse connue et tromper les utilisateurs. Aujourd’hui, des portefeuilles majeurs comme OKX Web3 Wallet ou SafePal intègrent des services de blocage des transactions suspectes visant spécifiquement les attaques de type « adresse similaire ». De plus, l'utilisation combinée d'un portefeuille matériel et d'une **phrase secrète (Passphrase)** est une fonction méconnue mais très efficace, particulièrement adaptée aux utilisateurs gérant plusieurs comptes de trading :
La passphrase agit comme un 13ᵉ mot, combiné aux 12 mots de récupération habituels pour générer une adresse de portefeuille totalement différente. Même si quelqu’un obtient vos mots de récupération, sans la passphrase, il ne pourra pas accéder à vos actifs. Cette méthode permet de créer plusieurs comptes distincts tout en maintenant un haut niveau de sécurité.
Cette approche renforce non seulement la sécurité des clés privées, mais permet aussi une gestion flexible des actifs entre plusieurs comptes. La passphrase peut même rester uniquement dans l’esprit de l’utilisateur, offrant une protection supplémentaire.
Andy souligne également que, bien que certains projets comportent des risques intrinsèques, les mauvaises habitudes des utilisateurs jouent souvent un rôle clé dans les incidents de sécurité. Même conscients de détenir de grandes quantités d’actifs ou des risques inhérents aux investissements, beaucoup continuent d’exposer leurs biens à cause de comportements imprudents.
Il recommande de cultiver une discipline stricte : stocker les gros montants dans un portefeuille hors ligne (cold wallet), utilisé uniquement pour interagir sans possibilité de transfert direct. Utiliser un téléphone dédié (par exemple un iPhone) exclusivement pour la gestion des actifs cryptographiques — uniquement pour les transactions ou la gestion des clés privées, sans aucune autre application ou activité. Cette pratique réduit considérablement le risque de fuite de clé privée.
Conclusion
L’incident DEXX met en lumière le dilemme fondamental du secteur des outils de trading sur la chaîne : comment trouver un équilibre entre commodité et sécurité ?
Dans la course à l’efficacité et à l’expérience utilisateur, la sécurité ne doit pas être sacrifiée. Que ce soit le stockage centralisé des clés privées ou l’absence de protections logicielles avancées, ces lacunes exposent gravement les actifs des utilisateurs.
« Entre rendements élevés et sécurité absolue, il y a toujours compromis. » Pour les investisseurs, comprendre les risques cachés derrière les outils de trading et développer de bonnes habitudes de sécurité constituent la base indispensable pour traverser la « forêt obscure » de la blockchain. Dans cet écosystème décentralisé et incertain, seule la maîtrise de sa propre clé privée permet de véritablement contrôler ses actifs, et ainsi contribuer à un développement plus sain de l’écosystème blockchain.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










