Équipe de sécurité OKX Web3 : Protégez votre clé privée comme la prunelle de vos yeux

Source: OKX

Not Your Keys, Not Your Coins — La liberté décentralisée au prix d'une "sécurité de la clé privée" absolue.

Un rapport de Chainalysis de juillet 2025 montre que 17 % à 23 % du Bitcoin est définitivement dormant en raison de la perte de clés privées ou de dommages matériels. Comme la clé privée représente la propriété des actifs, une fois perdue, elle ne peut être réinitialisée, et aucun service client ne peut aider à la récupérer. Si la clé est compromise et les fonds volés, la récupération est presque impossible. Le monde en ligne nous a accordé la liberté, mais a également replacé l'entière responsabilité entre nos mains. À mesure que l'écosystème en ligne prospère, divers incidents de vol d'actifs se produisent fréquemment. Cependant, les individus s'en rendent souvent compte trop tard et peinent à identifier l'origine du problème — La clé privée a-t-elle fuité ? Ont-ils cliqué sur un lien de phishing ? Téléchargé un malware ? Ou était-ce une autre erreur opérationnelle ?

L'équipe de sécurité Web3 d'OKX vise à renforcer la sensibilisation de chacun à la sécurité de la clé privée grâce à ce contenu éducatif et à souligner une fois de plus ces angles morts de sécurité souvent négligés.

1. Pourquoi une clé privée ou une phrase mnémonique peut-elle fuiter ?

Tout d'abord, corrigeons une idée fausse courante. De nombreux utilisateurs pensent qu'une fuite de clé privée ou de phrase mnémonique (ci-après dénommée "fuite de clé privée") se produit généralement lors de l'utilisation d'un portefeuille crypto. En réalité, si vous téléchargez et utilisez un portefeuille via des canaux officiels et utilisez un portefeuille d'une marque réputée, la clé privée ne fuit généralement pas lors d'une utilisation normale. Les fuites de clés privées surviennent principalement en raison d'un stockage inapproprié et de leur acquisition par des acteurs malveillants. Une fois que quelqu'un possède votre clé privée, il peut l'importer dans n'importe quel portefeuille et contrôler les actifs du compte.

En fait, il existe de nombreuses raisons aux fuites de clés privées, et la source exacte est souvent difficile à identifier complètement. Cependant, en analysant de nombreux cas de l'industrie et en aidant aux enquêtes, nous avons compilé quelques scénarios et indices typiques (comme indiqué ci-dessous).

Image : Défis d'analyse dans le vol de clés privées partagés par Xuandong de SlowMist

2. Scénarios courants de fuite de clé privée et méthodes d'atténuation

(1) Scénario le plus facilement négligé : Fuite lors de la création du portefeuille

Étude de cas 1 : Aide à la création de portefeuille par des tiers. M. Li venait de commencer à explorer le Web3 et, avec l'aide d'un "mentor enthousiaste", a créé un portefeuille. Le mentor l'a aidé à créer le portefeuille, à définir le mot de passe de transaction, et l'a guidé à travers les dépôts et les transactions. Bien qu'un mot de passe de transaction ait été défini pour le portefeuille, pendant le processus de création, le mentor avait déjà obtenu sa clé privée. Quelques jours plus tard, les 5 ETH que M. Li avait déposés ont été rapidement transférés. Ce n'est qu'alors qu'il a réalisé que le mot de passe de transaction n'était qu'une validation locale, et que quiconque possédant la clé privée pouvait l'importer dans n'importe quel portefeuille et transférer directement ses actifs.

Recommandation de sécurité : Les portefeuilles doivent être créés indépendamment sans laisser personne "aider" ou "agir au nom de". En cas de suspicion de compromission de la clé privée, les actifs doivent être rapidement transférés vers un nouveau portefeuille.

Étude de cas 2 : Création de portefeuille via partage d'écran en visioconférence. Mme Zhang, sous la direction à distance d'un "enseignant", a créé un portefeuille via partage d'écran en visioconférence. L'enseignant a démontré étape par étape : le téléchargement du portefeuille, la génération de la phrase mnémonique, la recharge de Gas, et l'achat de tokens. Tout le processus semblait très "intime", et à la fin, on lui a même rappelé : "Ne divulguez jamais votre clé privée à personne". Cependant, à son insu, au moment du partage d'écran, la phrase mnémonique a pu être enregistrée. Deux semaines plus tard, environ 12 000 $ en USDT sur son compte ont été transférés.

Recommandation de sécurité : Lors de la création d'un portefeuille, désactivez le partage d'écran, l'enregistrement d'écran ou les fonctions de partage d'écran. En cas de suspicion de compromission de la clé privée, les actifs doivent être rapidement transférés vers un nouveau portefeuille. De plus, sur la page du portefeuille OKX affichant la clé privée et la phrase mnémonique, la capture d'écran, l'enregistrement ou le partage d'écran ne sont pas autorisés, renforçant ainsi efficacement la sécurité.

Image : Lorsque le partage d'écran est détecté, le portefeuille OKX masque automatiquement la phrase mnémonique et la clé privée, empêchant les autres de voir le texte

(II) Scénario le plus courant : Stockage inapproprié de la clé privée menant à une fuite

Étude de cas 3 : Fausse application, cauchemar d'un utilisateur Android. M. Wang, un utilisateur prudent, a pris une capture d'écran de la phrase mnémonique après avoir créé un portefeuille et l'a stockée dans sa galerie photo locale, sans jamais la télécharger sur le cloud, pensant que c'était plus sûr. Cependant, il a téléchargé une soi-disant "version améliorée de Telegram" depuis un forum, une application dont l'icône et l'interface étaient presque identiques à la version officielle. En réalité, elle scannait continuellement la galerie du téléphone en arrière-plan, utilisait la technologie de reconnaissance optique de caractères (OCR) pour identifier la phrase mnémonique, et la téléchargeait automatiquement sur le serveur d'un pirate. Trois mois plus tard, tous les actifs du compte de M. Wang ont été vidés, entraînant une perte dépassant 50 000 $. L'analyse technique a révélé que son téléphone contenait également de fausses applications imToken, MetaMask, Google Authenticator et d'autres applications malveillantes.

Cas quatre : Application malveillante BOM menant à une fuite mnémonique. Le 14 février 2025, plusieurs utilisateurs ont subi des incidents concentrés de vol d'actifs de portefeuille. Grâce à l'analyse des données on-chain, tous ces cas de vol présentaient des caractéristiques typiques de fuite de phrase mnémonique/clé privée. Une révision plus approfondie des utilisateurs affectés a révélé que la plupart d'entre eux avaient précédemment installé et utilisé une application appelée BOM. Une enquête approfondie a montré que cette application était en fait un logiciel frauduleux soigneusement déguisé. Des acteurs malveillants, par le biais de la manipulation des autorisations des utilisateurs, ont obtenu illégalement les autorisations de phrase mnémonique/clé privée, permettant un transfert systématique des actifs et tentant de dissimuler leurs actions.

Conseil de sécurité : De nombreux utilisateurs, par "commodité", développent des habitudes qui sont ironiquement les plus dangereuses. Par conséquent, il est recommandé à chacun : 1) Ne prenez pas de capture d'écran de la phrase mnémonique ! Il est suggéré de la copier manuellement sur papier et de la stocker dans un endroit sûr. 2) Lors du téléchargement d'une application, assurez-vous de n'utiliser que les canaux officiels, et ne testez pas facilement des versions "améliorées" inconnues ou des modifications tierces. 3) Si des anomalies de l'appareil sont détectées ou si la clé privée a déjà été capturée en écran, ne comptez pas sur la chance et transférez immédiatement les actifs vers un nouveau portefeuille. 4) Qu'a fait OKX ? Pour empêcher les utilisateurs de faire des captures d'écran sur les pages de sauvegarde de la clé privée et de la phrase mnémonique, nous avons désactivé la fonction de capture d'écran sur ces pages sensibles.

Image : Le portefeuille OKX interdit les captures d'écran sur les pages de clé privée et de phrase mnémonique

En même temps, pour réduire le risque que les utilisateurs installent de fausses applications, la version Android fournit également une fonction de scan des applications malveillantes.

Image : Le portefeuille OKX sur Android fournit une fonction de scan des applications malveillantes

(III) Le scénario le plus courant et le plus facile à tromper : Phishing de clés privées

Cas cinq : Phishing par faux airdrop. Un projet NFT bien connu a annoncé sur Twitter qu'il ferait un airdrop d'un nouveau token aux détenteurs. En seulement 10 minutes après l'annonce, plusieurs sites web de phishing sont apparus en haut des résultats de recherche Google (promus via des publicités payantes). Ces sites web de phishing avaient des noms de domaine avec seulement une lettre de différence (par exemple, opensae.io au lieu de opensea.io), avec des designs de page presque identiques au site officiel. Lorsque les utilisateurs connectaient leurs portefeuilles, la page affichait un message : "Congestion du réseau, connexion échouée, veuillez saisir manuellement votre phrase mnémonique pour réclamer l'airdrop". Ce jour-là, plus de 50 utilisateurs sont tombés dans le piège, entraînant une perte totale de plus de 200 000 $. La victime la plus rapide a vu ses actifs transférés en 3,7 secondes après avoir saisi sa phrase mnémonique.

Cas six : Attaque par ingénierie sociale. Mme Zhao a rencontré un problème opérationnel dans un groupe Discord de projet. Un administrateur avec un avatar et un surnom qui semblaient très "officiels" lui a envoyé un message privé proactif, prétendant être le support client voulant l'aider à résoudre le problème. Ils lui ont envoyé un lien vers une "page de vérification". Faisant confiance à l'administrateur, Mme Zhao a cliqué sur le lien et a saisi sa phrase mnémonique comme demandé. La page ressemblait exactement au site officiel. Quelques minutes plus tard, plusieurs actifs ont été continuellement transférés hors de son portefeuille. Ce n'est qu'alors qu'elle a réalisé que le soi-disant administrateur était en fait un escroc, et que tout "support client" demandant aux utilisateurs de saisir leur phrase mnémonique ou clé privée sur un site web est sans aucun doute une arnaque. Il convient de noter qu'en plus d'usurper l'identité d'administrateurs officiels, les escrocs peuvent également usurper l'identité d'amis, de membres de l'équipe de projet ou d'autres identités de confiance.

Conseil de sécurité : Une DApp légitime ne vous demandera jamais votre clé privée, et une personne de confiance ne vous demandera jamais votre clé privée. N'oubliez pas : votre clé privée est la clé de vos actifs, alors assurez-vous de la stocker en toute sécurité et ne la divulguez jamais facilement.

III. Pourquoi les fournisseurs de portefeuilles peuvent-ils faire peu de choses une fois qu'une clé privée est compromise ?

Certains utilisateurs, après avoir découvert une fuite suspectée de clé privée et des actifs en cours de déplacement, contacteront immédiatement l'équipe du portefeuille, espérant que nous pourrons fournir plus d'assistance. Cependant, en réalité, une fois que la clé privée a été exposée, l'espace dans lequel les fournisseurs de portefeuilles peuvent intervenir est très limité.

Ici, expliquons brièvement le processus de base que nous suivons lors de la réception de rapports de "vol d'actifs", et expliquons également pourquoi, à maintes reprises, nous ne pouvons pas directement "récupérer" les actifs on-chain :

Premièrement, nous aiderons l'utilisateur à retracer le flux de fonds, en analysant si les fonds on-chain peuvent être liés à des groupes de pirates connus ou à des clusters d'adresses. En même temps, nous conseillerons à l'utilisateur de transférer rapidement tous les actifs qui n'ont pas été volés pour réduire le risque de pertes supplémentaires. En cas de vol important, nous recommanderons aux utilisateurs de contacter rapidement les forces de l'ordre locales pour obtenir de l'aide par des canaux juridiques. Notre équipe interne mènera également une analyse approfondie de l'incident, résumera le mode opératoire du pirate et fournira des informations pour la protection future des utilisateurs.

En tant que fournisseur d'outils, les portefeuilles eux-mêmes ne peuvent pas geler ou annuler les actifs on-chain. Une fois qu'un pirate obtient la clé privée, il utilise généralement des scripts automatisés pour terminer le transfert de fonds en quelques secondes, avec une vitesse très rapide sur laquelle il est difficile d'intervenir. Ce n'est que lorsque les fonds volés finissent par circuler vers une plateforme d'échange centralisée qu'il est possible de demander un gel temporaire par des canaux juridiques.

Lorsque la trajectoire des fonds est liée à des clusters de pirates connus dont nous sommes conscients, nous partirons de leur mode opératoire commun pour aider les utilisateurs à se rappeler s'ils ont récemment effectué des opérations à haut risque, déterminant ainsi à quel moment la clé privée a pu être exposée.

OKX a toujours donné la priorité à la sécurité des fonds des utilisateurs, investissant massivement au fil des ans pour construire un système de contrôle des risques et concevoir des mécanismes d'authentification multi-facteurs. Bien que ces processus puissent sembler fastidieux, ils visent tous à mieux protéger la sécurité des actifs des utilisateurs. On peut dire que nous sommes également l'une des équipes de l'industrie qui a le plus investi dans la sécurité.

Image : Le score de sécurité du portefeuille OKX est classé premier

Comme mentionné précédemment, si les utilisateurs manquent de sensibilisation à la sécurité ou utilisent des pratiques inappropriées, ils peuvent toujours subir des pertes pour des raisons telles que le phishing ou la fuite de clé privée, quel que soit le portefeuille qu'ils utilisent. Par conséquent, la protection appropriée de la clé privée reste toujours la base de sécurité la plus critique. En plus d'améliorer continuellement les capacités de sécurité du produit lui-même, nous renforçons continuellement l'analyse des cas et partageons des conseils de sécurité pour aider les utilisateurs à mieux identifier les scénarios de risque potentiels.

4. En résumé, conseils de sécurité pour la clé privée

Avertissement :

Cet article est fourni à titre indicatif uniquement. Cet article n'a pas l'intention de fournir (i) des conseils en investissement ou des recommandations d'investissement, (ii) une offre, une sollicitation ou une incitation à acheter, vendre ou détenir des actifs numériques, ou (iii) des conseils financiers, comptables, juridiques ou fiscaux. Les actifs numériques (y compris les stablecoin et les NFT) sont soumis aux fluctuations du marché, impliquent des risques élevés et peuvent se déprécier. Pour toute question concernant l'adéquation du trading ou de la détention d'actifs numériques pour vous, veuillez consulter votre professionnel juridique/fiscal/en investissement. Le portefeuille OKX Web3 est uniquement un type de service logiciel de portefeuille auto-hébergé qui vous permet de découvrir et d'interagir avec des plateformes tierces, et le portefeuille OKX Web3 ne peut pas contrôler les services de ces plateformes tierces et ne saurait en être tenu responsable. Tous les produits ne sont pas disponibles dans toutes les régions. Vous êtes responsable de comprendre et de respecter les lois et réglementations locales pertinentes. Le portefeuille OKX Web3 et ses services associés ne sont pas fournis par l'exchange OKX et sont régis par les conditions de service de l'écosystème OKX Web3.

Cet article est un contenu contribué et ne représente pas les vues de BlockBeats.