Les portefeuilles qui interagissent quotidiennement sur la chaîne sont-ils toujours sûrs ? Ce que vous devez savoir pour éviter que votre portefeuille ne soit volé !

Ne demandez pas d’aide en matière de sécurité réseau ! Soyez prudent avant de signer votre portefeuille MetaMask !
MetaMask est un portefeuille numérique crypté EVM (Ethereum Virtual Machine) très célèbre et le plus largement utilisé. Je pense que toute personne familiarisée avec le domaine numérique cryptographique a utilisé un portefeuille MetaMask à un moment ou à un autre. Cependant, à mesure que de plus en plus de personnes entrent dans le domaine numérique crypté, les cas de fraude numérique augmentent progressivement et les cas de vols d'actifs numériques en raison d'une méconnaissance du mode de fonctionnement de la blockchain deviennent de plus en plus courants.
Un ami a déjà eu une telle situation. Il n'a clairement effectué aucune transaction, mais a découvert que les actifs numériques de son portefeuille avaient été transférés sans raison. Il était sûr que la phrase mnémonique n'avait pas été divulguée à d'autres, mais il avait utilisé le portefeuille. pour vous connecter plusieurs fois à différents comptes de site Web, participer à différentes interactions dApp, etc. Il est donc très probable que le problème réside dans la signature.
Cette fois, nous prendrons MetaMask comme exemple pour parler de trois problèmes de signature sur la blockchain.
La soi-disant signature est en réalité un processus d'authentification d'identité. Tout comme lorsque vous vous adressez à une banque pour retirer de l'argent, en plus de recevoir vos instructions d'opération, la banque doit également procéder à une authentification de votre identité pour garantir que vous êtes le véritable propriétaire du compte. L'authentification de l'identité bancaire peut être réalisée par mot de passe, signature, sceau, etc.
Signature de la blockchain
Il en va de même pour les transactions sur la blockchain. Lorsque vous effectuez une transaction, en plus d'indiquer à la blockchain « quoi faire », vous devez également effectuer une authentification d'identité pour vous assurer que vous êtes le véritable propriétaire du compte avant de pouvoir effectuer la transaction correspondante. opération. Cette authentification d'identité est ce que nous appelons la « signature ».
La méthode spécifique de signature consiste à utiliser votre clé privée (clé privée) enregistrée dans un portefeuille blockchain (tel que MetaMask) pour signer numériquement les instructions que vous avez émises via un algorithme de cryptage. Cette signature peut être effectuée avec la clé publique de votre adresse (clé publique). ) est comparé pour vérifier qu'il s'agit bien de l'instruction correspondante émise par vous, et le processus d'authentification est terminé. De plus, l’action de « signer » ne nécessite pas de remontage. Cela peut également se faire sans connexion Internet.
Par conséquent, tant que vous disposez d'une signature de transaction valide et que vous correspondez aux instructions de transaction correspondantes (telles que le transfert), vous pouvez effectuer une transaction normalement.
À ce stade, je pense que les lecteurs intelligents peuvent voir le mystère. La signature de la transaction est la priorité absolue dans l’ensemble du processus. En d’autres termes, un fraudeur peut falsifier une transaction et frauder votre signature de transaction. Il peut ensuite utiliser cette signature pour exécuter la fausse transaction, vous faisant perdre des actifs dans des circonstances inexplicables. La fuite des signatures de transaction est l’un des responsables du vol de nombreux actifs numériques.
Signe personnel
Signature de connexion Web3 commune
Personal Sign peut être utilisé pour signer un morceau de texte codé en UTF-8. En utilisant cette méthode, MetaMask affichera clairement le contenu signé. Cette méthode est couramment utilisée pour les connexions à des sites Web.
La connexion OpenSea que nous avons mentionnée ci-dessus utilise la méthode Personal Sign.
Eth_Sign
Les utilisateurs doivent être plus vigilants pour signer
ethsign est une méthode de signature fournie très tôt par MetaMask. Cette méthode nécessite de transmettre un numéro de hachage (Hash) de 32 octets pour la signature, et le numéro de hachage peut être obtenu à partir de n'importe quel contenu. Par conséquent, avec ce seul numéro de hachage sans signification, la signature. L'auteur n'aura aucune idée du contenu qu'il signe. Ce contenu peut être une transaction, une autorisation, une demande de connexion à un site Web ou autre chose. Il existe donc un risque très élevé. MetaMask a maintenant commencé à signer ce type de signature. . Demandez qu'un avertissement rouge apparaisse pour avertir les utilisateurs d'éviter de tomber dans une arnaque.
Bon sang, sonne la cloche. Ethsign est une méthode de signature très dangereuse, et c'est également la méthode de signature utilisée par de nombreuses escroqueries. La connexion OpenSea que nous avons mentionnée ci-dessus utilise la méthode Personal Sign.
Signe EIP712
Une méthode plus avancée et sécurisée de signature de transactions
EIP712 Sign est une norme de signature plus sécurisée. Cette norme spécifie la structure des données de signature et ajoute également des restrictions de portée sur les données, telles que le domaine, l'adresse du contrat de vérification, etc.
Les signatures ERC712 sont souvent utilisées dans l'exécution de contrats telles que les métatransactions. Par exemple, les demandes de signature EIP712 apparaîtront lors de la cotation OpenSea NFT, de la réduction des prix et d'autres processus.
L’avantage de cette norme est que les signataires peuvent voir clairement ce qu’ils signent, ce qui réduit considérablement le risque d’être victime d’hameçonnage. Toutefois, cela ne signifie pas que ce type de signature est absolument sûr. Lorsque vous signez, vous devez clairement voir ce que vous signez.
Conclusion
En résumé, on ne peut jamais penser qu’il n’y a aucun risque si la signature n’est pas sur la chaîne. Au contraire, les signatures blockchain peuvent en fait être considérées comme omnipotentes, en particulier les signatures qui apparaissent à l'aide d'ethsign. Les équipes de développement et les individus doivent être très prudents.
En plus de la sécurité de l’interaction du métamasque elle-même, d’autres recommandations de sécurité incluent :
1. La clé privée et la phrase mnémonique ne peuvent en aucun cas être divulguées et n'utilisez pas le presse-papiers pour copier, et vous ne pouvez pas non plus prendre de photos, de captures d'écran ou les stocker sur un disque réseau. N'oubliez pas que la clé privée ou la phrase mnémonique représente tout ce qui se trouve dans votre portefeuille
2. Portefeuilles chauds et froids séparés. Toutes les transactions doivent être effectuées dans des portefeuilles chauds. Les portefeuilles froids effectuent uniquement des opérations de transfert entrant et sortant. Si vous souhaitez vendre un NFT dans un portefeuille froid, vous préférez dépenser un peu d'essence pour le transférer. au portefeuille chaud en premier.
3. Lorsque vous allez à la menthe ou lorsque vous essayez certaines dApps, il est préférable d'utiliser un petit portefeuille
4. Il est préférable de stocker de grandes quantités d'actifs dans des échanges ou des portefeuilles matériels. Les phrases mnémoniques pour les portefeuilles matériels ne peuvent être écrites qu'à la main et ne peuvent pas être stockées sur Internet.
J'espère que tout le monde sera heureux dans le monde de la cryptographie et protégera son portefeuille. Les portefeuilles sont la clé de notre survie dans le monde Web3. Si la clé est perdue ou volée, le portefeuille ne vous appartient plus. Si cela se produit, supprimez-le immédiatement. contenu des actifs du portefeuille, les portefeuilles sont obsolètes.