4 choses à apprendre de l’encoche embarrassante de Slope à Solana
Maintenant, nous le savons : le piratage qui a vidé des milliers de portefeuilles d’utilisateurs (plus de 8 000 au moment de la rédaction) sur la plate-forme de crypto-monnaie Solana n’était pas le résultat d’une sorte de défaillance généralisée du système. Cela était très probablement dû à des pratiques de sécurité extrêmement médiocres du fournisseur de portefeuille de crypto-monnaie Slope.
Selon la société de sécurité Otter, le piratage a été causé par l’envoi par Slope des phrases de départ des utilisateurs en texte clair à un serveur centralisé. Une phrase de départ correspond à une clé de chiffrement privée ; c’est une série de mots qui “déverrouillent” les fonds dans un portefeuille crypto afin que celui qui possède la phrase puisse en faire ce qu’il veut. “Texte clair” signifie que ces phrases ont été envoyées non cryptées sur Internet, ce qui en fait une cible facile pour les pirates.
Le tweet a peut-être été supprimé
(s’ouvre dans un nouvel onglet)
En bref : Slope a fait quelque chose qu’aucune entreprise ne devrait jamais faire, et cela a coûté plus de 4 millions de dollars aux utilisateurs. (Pour mémoire, Slope a déclaré dans un communiqué officiel que “rien n’est encore ferme” concernant le piratage, cependant plusieurs autre experts d’accord avec Otter.)
Le nombre n’est pas énorme dans le monde des crypto-monnaies, où les hacks de plusieurs millions de dollars sont courants. Mais le piratage était un cauchemar pour les utilisateurs de crypto, car les fonds des gens commençaient à disparaître au hasard de leurs portefeuilles, et il a fallu presque une journée aux experts en sécurité pour rattraper leur retard et comprendre ce qui s’était passé.
Le piratage crypto nomade se transforme en vol de masse de 190 millions de dollars
Alors, que pouvez-vous faire pour vous assurer que de tels incidents ne vous affectent pas à l’avenir ? Aucune stratégie n’est infaillible, mais voici quelques conseils.
1. Les portefeuilles logiciels de crypto-monnaie peuvent être ridiculement mauvais en matière de sécurité
On pourrait penser qu’une entreprise spécialisée dans les portefeuilles cryptographiques n’enverrait même pas d’emoji non chiffrés, mais vous vous trompez. Slope semble avoir commis l’une des pires infractions possibles en envoyant des phrases de départ aux utilisateurs non cryptées sur Internet.
Le tweet a peut-être été supprimé
(s’ouvre dans un nouvel onglet)
La leçon à tirer ici est la suivante : même lorsqu’une entreprise dit que la sécurité est une priorité ; même lorsque vous travaillez dans un espace où la sécurité est extrêmement importante ; même quand ils jurent que votre argent est en sécurité, vous devez toujours être vigilant.
2. Toute la cryptographie du monde n’aide pas quand il y a un maillon faible
Lorsque vous configurez un portefeuille cryptographique, vous recevez généralement des messages vous demandant de conserver votre phrase de départ et votre clé privée en toute sécurité et de ne les montrer à personne. Vous pouvez également voir des notes indiquant qu’il existe une cryptographie avancée à l’œuvre ici, et si vous perdez à la fois votre phrase de départ et l’accès à votre clé privée, vous ne pourrez jamais récupérer votre argent.
Bien que cela puisse être vrai dans certains cas, les mesures de sécurité cryptographiques les plus avancées seront de peu d’utilité si le portefeuille lui-même gère mal votre graine.
3. Utilisez un portefeuille matériel si possible
Ledger propose un portefeuille matériel qui fonctionne avec Solana.
Crédit : grand livre
Un portefeuille matériel de crypto-monnaie est un appareil, souvent similaire à une clé USB, qui vous permet de détenir, de dépenser et de recevoir de la crypto-monnaie. Il offre généralement plus de sécurité qu’un portefeuille logiciel, bien qu’il soit un peu plus compliqué à utiliser.
Lorsque l’attaque Slope a commencé à toucher les portefeuilles des utilisateurs, Solana et Slope ont conseillé aux utilisateurs de transférer leurs fonds vers un portefeuille matériel. C’est un bon conseil en principe, mais la plupart des utilisateurs n’ont pas de portefeuille matériel à portée de main, et en commander un en ligne et le recevoir prend généralement quelques jours.
Donc, une chose que vous pouvez faire, surtout si vous gérez des quantités importantes de crypto, est de commander un portefeuille matériel avant que la catastrophe ne se produise. Des entreprises comme Trezor et Ledger en proposent un. Cependant, gardez à l’esprit que même les portefeuilles matériels peuvent avoir des failles de sécurité et que les entreprises qui les fabriquent peuvent avoir de mauvaises pratiques de sécurité. Par exemple, Ledger a eu une terrible fuite de données où les pirates ont obtenu les noms des utilisateurs, les adresses personnelles et d’autres données. D’autre part, Trezor, qui a un bon dossier de sécurité, ne prend pas en charge Solana au moment d’écrire ces lignes.
4. Parfois, un échange centralisé peut vous faire économiser
En crypto, il y a un dicton : Pas vos clés, pas vos pièces. Cela signifie que si vous conservez vos pièces chez un tiers, comme un échange cryptographique centralisé, vous ne contrôlez pas vraiment ce qui leur arrive.
Cependant, dans le cas du piratage Slope d’hier, la meilleure chose que vous puissiez faire pour protéger vos pièces (si vous n’aviez pas accès à un portefeuille matériel) était de les envoyer à un échange comme FTX ou Binance, car ces échanges étaient peu probables. être soit touché par le même problème. Comme mesure de sécurité rapide, c’était une option décente; vous pouvez toujours déplacer vos pièces ailleurs une fois la poussière retombée.
