Cyber sécurité dans le Web3, Comment protéger vos NFTs

[TL;DR]

• Les NFT sont de plus en plus adoptés, atteignant 30 000 nouveaux utilisateurs en septembre et un volume de transactions de 70 milliards de dollars en 2022.
  

• Le succès de l'actif a attiré une bonne et une mauvaise attention, attirant les acteurs malveillants qui escroquent les utilisateurs peu méfiants.

• Les utilisateurs de Web3 qui souhaitent échapper aux pertes doivent adopter certaines pratiques pour protéger leurs NFT contre les escroqueries et les attaques.

• L'une de ces pratiques consiste à développer une culture web3 afin de détecter les transactions et les affaires fausses et nuisibles.

• Une autre consiste à stocker correctement les clés de porte-monnaie et les phrases de démarrage en toute sécurité dans des porte-monnaie hors ligne.

Aperçu de Web3, et de la croissance de NFT cette année.

À l'heure où le web3 trouve ses marques sur le marché mondial, les NFT jouent un rôle important dans cette adoption. À l'heure où nous écrivons ces lignes, ces actifs numériques uniques enregistrent un volume total de transactions de 68 milliards de dollars. Il s'agit d'une augmentation impressionnante de 75 % par rapport aux 17 milliards de dollars du début de l'année. Et bien que la macroéconomie ait porté un coup terrible à la crypto et au web3 cette année, l'adoption des NFT continue de progresser. Selon la société Intotheblock, en septembre, 30 000 nouvelles adresses utilisaient des NFT. En outre, plus d'un millier de nouvelles collections de NFT sont arrivées sur le marché à peu près au même moment. En effet, comme l'a prédit Kevin O'Leary de Shark Tank, il semble que l'actif en ligne va, à terme, battre le Bitcoin en termes de capitalisation boursière.

Source: Forbes

Pourquoi devez-vous apprendre à protéger vos NFT ?

Tout comme de nombreux créateurs, artistes, collectionneurs et investisseurs se sont tournés vers les jetons non fongibles, des acteurs malveillants ont fait de même. Ces entités ont recours à toutes sortes de stratagèmes sophistiqués pour amener les plateformes et les utilisateurs à publier des informations qui leur donnent accès à leurs fonds et actifs durement gagnés. Par conséquent, alors même que des personnes réalisent des profits sur le web3, d'autres perdent des fonds importants en raison de problèmes de sécurité. Parmi ces exploits, citons les escroqueries de type "rug pull", les vols d'employés et, plus souvent, les attaques de phishing et le piratage. Examinons brièvement ces deux derniers cas, car ils sont plus fréquents dans l'espace NFT.

Deux grandes menaces de cybersécurité sur le Web3

Source: AAG - AAG Ventures

Attaques de phishing

Dans cette forme de violation de la sécurité, les entités malveillantes créent un faux site Web en utilisant un lien similaire à un site légitime. Ensuite, elles réalisent un scénario d'ingénierie sociale encourageant les détenteurs de NFT peu méfiants à cliquer sur leur faux lien. Ces scénarios se présentent généralement sous la forme d'opportunités trop belles pour être vraies, comme des largages uniques ou un lancement anticipé ou exclusif de jetons. Parfois, ils peuvent même mentir en disant que le compte de la victime visée a subi une violation de sécurité et qu'elle doit changer son mot de passe, etc.

Quelle que soit la forme qu'elles prennent, ces offres sont toujours limitées dans le temps, jouant sur la peur de manquer (FOMO) des utilisateurs. Elles exigent toujours que les utilisateurs cliquent sur des liens suspects, qui mènent à des sites de phishing. Ces sites permettent aux escrocs d'accéder aux clés privées des détenteurs de portefeuilles et, par extension, à tous les fonds et actifs numériques qu'ils contiennent.

Un exemple notable de cette situation s'est produit en février de cette année sur une plateforme NFT de premier plan, Opensea. Les utilisateurs ont perdu plus de 1 200 ETH (3,4 millions de dollars) de NFT lors d'une attaque de phishing sur la place de marché NFT. Une autre attaque similaire a eu lieu en mai, impliquant des NFT Moonbird d'une valeur de près de 1,5 million de dollars (750 ETH).

Attaques de piratage

Les pirates s'introduisent dans des plateformes légitimes et de confiance, ce qui leur donne accès aux informations, aux fonds et aux actifs des utilisateurs. Cela peut se produire sur des plateformes web3 et web2, notamment Twitter, Instagram, Discord, et même des sites web. À l'instar des escroqueries par hameçonnage, les pirates informatiques misent sur la rapidité pour obtenir, encaisser et sortir avant que quiconque ne s'en doute. Ces exploits ont été nombreux depuis le début de l'année. Ces escrocs ciblent des noms connus comme Bored Ape Yacht Club et Opensea, entre autres. Un excellent exemple d'une telle attaque a été le piratage du Discord d'Alethea Al en mars. Ses utilisateurs ont perdu 840 ETH, soit environ 1,8 million de dollars à l'époque. La plus grande attaque de cette année a été le piratage d'un portefeuille chaud qui a touché dix portefeuilles de Lympo, une marque de NFT basée sur le sport. Les victimes ont perdu 18,7 millions de dollars en jetons LMT dans ce seul piratage qui a eu lieu en janvier.

Selon les données de Comparitech, l'espace web3 a perdu 36,5 millions de dollars de NFT dans des attaques de phishing et de piratage au premier trimestre 2022. Bien que la plupart des plateformes travaillent sans relâche pour se prémunir contre d'éventuelles failles de sécurité, il est douloureusement évident qu'elles sont inévitables. Vous devez donc apprendre à protéger vos actifs par vous-même ou être victime des nombreux escrocs qui sévissent.

Comment protéger mes NFT ?

Maintenant que vous savez pourquoi vous devez faire attention à la sécurité de vos jetons non fongibles, la question est de savoir comment ? Vous trouverez ci-dessous les pratiques les plus importantes à adopter pour garder vos actifs à l'abri des exploiteurs :

Gardez vos clés en sécurité: Si vous n'êtes pas constamment en train d'acheter, de vendre ou d'échanger vos NFT, conservez vos clés hors ligne dans des portefeuilles froids. Oui, les portefeuilles chauds (stockage en ligne) permettent d'accéder à vos clés privées et de confirmer les transactions facilement et rapidement. Cependant, ces clés qui confèrent la propriété sont vulnérables aux piratages tant que vous les stockez en ligne. La meilleure option est de les garder en sécurité dans des portefeuilles matériels hors ligne. Ainsi, il est impossible pour les pirates de mettre la main sur vos clés. N'oubliez pas que, tant qu'il est en ligne, aucun portefeuille n'est inexpugnable.

Regardez où vous cliquez: Comme indiqué ci-dessus, les acteurs malveillants clonent des liens légitimes pour tromper les utilisateurs peu méfiants. Mais quelle que soit la subtilité du procédé, il y aura toujours un signe qui indiquera qu'il est illégitime. Par conséquent, vérifiez toujours deux fois les liens sur lesquels vous cliquez et assurez-vous que l'URL est réelle.

Résistez aux offres de la FOMO: le plus grand tueur en matière d'investissement sera toujours la cupidité. Comme le dit le dicton, si quelque chose semble trop beau pour être vrai, c'est généralement le cas. Faites donc attention aux offres que vous acceptez. Cela s'applique particulièrement à celles qui vous poussent à agir immédiatement. Vérifiez auprès de plusieurs sources. La page légitime qui vous propose une offre peut être compromise ; vérifiez ses autres plateformes. Si l'offre est sur Twitter, consultez le Discord de l'entreprise pour une vérification supplémentaire. Résistez à l'envie d'agir par peur de manquer quelque chose (FOMO). Cela se termine rarement bien.

Ne signez pas aveuglément: Ne signez pas de contrats intelligents basés sur la confiance. Faites preuve de diligence raisonnable en utilisant un portefeuille qui révèle tous les détails nécessaires des contrats que vous signez. Les escrocs déguisent généralement leurs actions avec des invites inoffensives. Si le portefeuille que vous utilisez restreint habituellement certaines parties des détails des contrats intelligents, il peut être tentant de signer aveuglément, mais ne le faites pas. Vous pourriez donner votre argent durement gagné sans le savoir. Assurez-vous de connaître tous les détails de ce que vous signez.

Évitez les transactions de DM: Les protocoles annoncent généralement les incitations, les offres ou les transactions sur leurs sites web ou leurs plateformes de médias sociaux. Il est rare, voire impossible, qu'ils approchent leurs utilisateurs individuellement. Par conséquent, si une plateforme semble vous proposer une offre dans votre DM, il est préférable de fuir. Il est plus que probable qu'il s'agisse d'un acteur malveillant cherchant à vous dépouiller de vos NFT. La meilleure chose à faire est d'ignorer toute offre qui ne provient pas des canaux appropriés.

Comprendre les fonctions des contrats intelligents avant de les signer: De nombreux utilisateurs de web3 ont des difficultés à comprendre les éléments des contrats intelligents qu'ils signent. C'est une chose de ne pas signer aveuglément, et c'en est une autre de comprendre ce que l'on voit. C'est pourquoi il est impératif de comprendre les fonctions de votre contrat intelligent pour éviter d'être exploité par de mauvais acteurs. Prenez la peine de vous informer sur les éléments critiques du web3 tels que les fonctions des contrats intelligents. Cela vous aidera à faire la distinction entre une transaction et une confirmation, etc. Et ainsi, il vous sera difficile d'être victime d'attaques déguisées.

Votre phrase de semence est la vôtre, ne la partagez jamais: Votre phrase de démarrage ou phrase de récupération est la seule chose qui vous empêche de perdre votre portefeuille si vous perdez votre clé. C'est l'information de secours pour accéder à vos jetons et à vos fonds. Elle est destinée exclusivement à votre usage. Par conséquent, il serait préférable de garder votre phrase de démarrage en sécurité et hors ligne, comme les clés de votre portefeuille.

Pour résumer,

Aucun système n'étant totalement infaillible, vous pouvez protéger vos jetons non fongibles et vos autres actifs numériques de manière raisonnable en faisant preuve de prudence. Alors que les failles de sécurité continuent de faire rage dans le monde du web3, vous pouvez faire quelque chose pour la sécurité de vos actifs. Voici les principales précautions à prendre pour éviter la plupart des piratages et des hameçonnages. Si vous les mettez en pratique, vous ferez partie des quelques utilisateurs avisés du Web3 dont les actifs sont bien protégés.

Auteur : M. Olatunji, chercheur Gate.io

Avis de non-responsabilité:

* Cet article ne représente que l'opinion des observateurs et ne constitue pas une suggestion d'investissement.

*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.