L'explosion et la valeur élevée des tokens non fongibles (NFT) semblent détourner les investisseurs de l'idée d'améliorer leur sécurité opérationnelle pour éviter les exploits, ou alors c'est que les pirates suivent simplement l'argent et utilisent des stratégies très complexes pour exploiter les portefeuilles des collectionneurs.
C'est du moins ce qui s'est passé pour moi il y a longtemps, après que j'ai été victime d'un message classique envoyé sur Discord, qui m'a fait perdre lentement, mais trop rapidement, mes actifs les plus précieux.
La plupart des arnaques sur Discord se déroulent de manière très similaire : un pirate prend une liste de membres sur le serveur et leur envoie des messages directs dans l'espoir qu'ils mordent à l'hameçon.
BEWARE: Several scams happening on Discord tonight. QUESTION EVERYTHING. Before clicking on links, quadruple check who it’s from and if it’s legitimate. Then check 12 more times on Twitter via trusted sources.
— Farokh (@farokh) October 27, 2021
ATTENTION : Plusieurs arnaques ont lieu sur Discord ce soir. REMETTEZ TOUT EN QUESTION. Avant de cliquer sur un lien, vérifiez quatre fois de qui il provient et s'il est fiable. Puis vérifiez 12 fois de plus sur Twitter via des sources fiables. - Farokh (@farokh) 27 octobre 2021.
« Ça arrive aux meilleurs d'entre nous», ne sont pas les mots que vous voulez entendre à propos d'un piratage. Voici les trois principales leçons que j'ai tirées de mon expérience sur la manière de doubler la sécurité, en commençant par réduire au minimum l'utilisation d'un hot wallet et en ignorant tout simplement les liens envoyés par messages directs.
Un cours accéléré sur les hardware wallets
Après mon piratage, on m'a immédiatement rappelé, et je ne le répéterai jamais assez, qu'il ne faut jamais partager sa phrase de démarrage. Personne ne devrait vous la demander. J'ai également appris que je ne pouvais plus renoncer à la sécurité au profit de la commodité.
Oui, les hot wallets sont beaucoup plus faciles et rapides à utiliser, mais ils n'offrent pas la sécurité supplémentaire d'un pin et d'une phrase de passe comme c'est le cas sur un hardware, ou cold wallet.
Les hot wallets comme MetaMask et Coinbase sont connectés à l'internet, ce qui les rend plus vulnérables et susceptibles d'être piratés.
Contrairement aux hot wallets, les cold wallets sont des applications ou des appareils dans lesquels les clés privées de l'utilisateur sont hors ligne et ne sont pas connectées à l'internet. Puisqu'ils fonctionnent hors ligne, les portefeuilles matériels empêchent les accès non autorisés, les hacks et les vulnérabilités typiques des systèmes, ce qui est susceptible de se produire lorsqu'ils sont en ligne.
4/ USE A HARDWARE WALLET
— richerd.eth (マ,マ) gm NFT.NYC (@richerd) February 2, 2022
A hardware based wallet stores the keys off of your main device. Your device that could have malware, key loggers, screen capture devices, file inspectors, that could also be snooping for your keys.
I recommend a Ledger Nano Shttps://t.co/LoT5lbZc0L
4/ UTILISER UN PORTE-MONNAIE MATÉRIEL. Un hardware wallet stocke les clés en dehors de votre appareil principal. Votre appareil peut contenir des logiciels malveillants, des enregistreurs de frappe, des dispositifs de capture d'écran, des inspecteurs de fichiers, qui peuvent également espionner vos clés. Je recommande un Ledger Nano Shttps://t.co/LoT5lbZc0L. - richerd.eth (マ,マ) gm NFT.NYC (@richerd) 2 février 2022
De plus, les hardware wallet permettent aux utilisateurs de définir un code personnel pour déverrouiller leur hardware wallet et de créer une phrase de passe secrète comme couche de sécurité supplémentaire. Désormais, un pirate doit non seulement connaître la phrase de récupération et le code pin d'une personne, mais aussi une phrase de passe pour confirmer une transaction.
Les phrases de passe ne sont pas aussi connues que les phrases d'amorçage, car la plupart des utilisateurs ne sont pas habitués à utiliser un hardware wallet ou à connaître la mystérieuse phrases de passe.
L'accès à une phrase d'amorçage déverrouillera un ensemble de portefeuilles qui lui correspond, mais une phrase de passe a également le pouvoir de faire la même chose.
Comment fonctionnent les pass-phrases ?
Les phrases de passe sont à bien des égards une extension de la phrase d'amorçage d'une personne, car elles mélangent le caractère aléatoire de la phrase d'amorçage donnée avec l'apport personnel de l'utilisateur pour calculer un ensemble d'adresses totalement différent.
Considérez les phrases de passe comme la possibilité de déverrouiller tout un ensemble de portefeuilles cachés en plus de ceux déjà générés par l'appareil. Il n'existe pas de phrase de passe incorrecte et il est possible d'en créer une quantité infinie. De cette façon, les utilisateurs peuvent aller plus loin et créer des portefeuilles fictifs pour éviter qu'un piratage potentiel ne cible un portefeuille principal.
Cette fonction est utile pour séparer les actifs numériques d'un compte à l'autre, mais terrible en cas d'oubli. Le seul moyen pour un utilisateur d'accéder aux portefeuilles cachés à plusieurs reprises est de saisir la phrase de passe exacte, caractère par caractère.
Tout comme la phrase de démarrage, la phrase de passe ne doit pas entrer en contact avec un appareil mobile ou en ligne. Elle doit plutôt être conservée sur papier et stockée dans un endroit sûr.
Comment configurer une phrase de passe sur Trezor
Une fois qu'un hardware wallet est installé, connecté et déverrouillé, les utilisateurs qui souhaitent activer la fonction peuvent le faire de deux manières. Si l'utilisateur se trouve dans son wallet Trezor, il appuiera sur l'onglet « Advanced settings» (paramètres avancés), où il trouvera une case à cocher pour activer la fonction de phrase de passe.
De même, les utilisateurs peuvent activer la fonction s'ils se trouvent dans la suite Trezor, où ils peuvent également voir si leur micrologiciel est à jour et leur broche installée.
Il existe deux modèles différents de Trezor, le Trezor One et le Trezor Model T, qui permettent tous deux aux utilisateurs d'activer des phrases de passe, mais de manière différente.
Le Trezor Model One offre uniquement aux utilisateurs la possibilité de taper leur phrase de passe sur un navigateur web, ce qui n'est pas l'idéal en cas d'infection de l'ordinateur. En revanche, le Trezor Model T permet aux utilisateurs d'utiliser l'écran tactile de l'appareil pour taper la phrase de passe ou de la taper dans le navigateur Web.
Sur les deux modèles, une fois la phrase de passe saisie, elle s'affiche sur l'écran de l'appareil et attend une confirmation.
Le revers de la médaille de la sécurité
Il existe des risques pour la sécurité, même si cela semble contre-intuitif. Ce qui rend la phrase de passe si forte en tant que deuxième étape d'authentification de la phrase de démarrage est exactement ce qui la rend vulnérable. En cas d'oubli ou de perte, les actifs sont pratiquement perdus.
Bien sûr, ces couches supplémentaires de sécurité demandent du temps et des précautions supplémentaires et peuvent sembler un peu excessives, mais mon expérience m'a appris à prendre mes responsabilités pour garantir la sécurité de chaque actif.
Les points de vue et opinions exprimés ici sont uniquement ceux de l'auteur et ne reflètent pas nécessairement ceux de Cointelegraph.com. Chaque investissement et chaque transaction comporte des risques. Vous devez effectuer vos propres recherches avant de prendre une décision.