Selon les rapports de Cointelegraph, la fraude est une fois de plus devenue un moteur majeur de la criminalité liée aux cryptomonnaies, causant des pertes directes de 4,6 milliards de dollars l'année dernière (2023).

Selon un rapport de données Certik, il y a eu 223 incidents de sécurité importants sur la chaîne dans le secteur des cryptomonnaies au seul premier trimestre de 2024, entraînant des pertes totalisant 500 millions de dollars. De plus, un récent rapport Slowmist a souligné qu'il y avait plus de 31 incidents de sécurité notables le mois dernier (mai), entraînant des pertes de 124 millions de dollars en raison de piratages, d'escroqueries de phishing, de vols de comptes et de rug pulls. Cela représente une augmentation d'environ 52,5% par rapport à avril.

De plus, l'incident largement discuté impliquant le vol de grosses sommes de fonds des utilisateurs d'OKX aurait apparemment non seulement drainé des fonds substantiels de certains utilisateurs, mais également entraîné le retrait de 630 millions de dollars de fonds d'utilisateurs de l'échange ce mois-ci.

ces incidents ne sont que ceux que nous connaissons. De nombreuses escroqueries, telles que les schemes de “découpe du cochon” visant les nouveaux arrivants dans le domaine, sont difficilement quantifiables.

C'est pourquoi j'insiste toujours sur deux principes fondamentaux pour les nouveaux venus dans ce domaine : premièrement, protéger votre capital initial, et deuxièmement, éviter les choses que vous ne comprenez pas. En d'autres termes, privilégiez toujours la sensibilisation à la sécurité. Nous avons précédemment résumé quelques points sur la sécurité dans des articles antérieurs. Aujourd'hui, nous poursuivrons cette discussion en mettant en évidence quelques problèmes de sécurité courants :

1. vulnérabilités des protocoles DeFi

Les vulnérabilités courantes dans la finance décentralisée (DeFi) incluent les attaques de prêt flash et la manipulation des oracles, qui peuvent tous deux épuiser les ressources d'un protocole DeFi.

Les prêts flash sont un produit DeFi innovant permettant aux utilisateurs d'emprunter n'importe quel montant d'actifs cryptographiques à partir d'un pool de protocole sans garantie, à condition que le principal et les intérêts soient remboursés dans la même transaction (un bloc). L'avantage des prêts flash est qu'ils permettent aux utilisateurs d'exploiter les opportunités d'arbitrage sur le marché, réalisant des opérations à faible coût et à forte récompense. Le risque est que si l'utilisateur ne peut pas rembourser dans le délai spécifié, la transaction est annulée, entraînant une perte de frais de transaction et d'intérêts.

Les attaques de prêt éclair fonctionnent en exécutant rapidement de multiples opérations d'emprunt et de trading sur le même réseau blockchain, provoquant des erreurs dans les contrats intelligents et permettant aux attaquants de bénéficier indûment. Par exemple, le 14 mai, le protocole de prêt natif à l'optimisme, Sonne Finance, basé sur Compound, a subi une attaque de prêt éclair, perdant plus de 20 millions de dollars.

Les oracles sont des applications qui obtiennent, vérifient et transmettent des informations externes (données hors chaîne) aux contrats intelligents sur la blockchain. En plus de récupérer des données hors chaîne et de les diffuser sur Ethereum, les oracles peuvent également pousser des informations de la blockchain vers des systèmes externes. Par exemple, une serrure intelligente peut être déverrouillée une fois qu'un utilisateur envoie des frais via une transaction Ethereum. Sans oracles, les contrats intelligents seraient limités à l'utilisation uniquement des données sur la chaîne.

La manipulation de l'oracle peut entraîner des oracles rapportant des données incorrectes sur des événements extérieurs ou des conditions réelles. Par exemple, considérez un actif crypto échangé sur cinq bourses, où 85 % du volume des échanges se produit sur deux d'entre elles. Si l'oracle ne couvre que les trois autres bourses avec une liquidité plus faible, sa couverture est insuffisante. Un attaquant pourrait manipuler les prix sur ces trois bourses à faible liquidité, entraînant l'oracle à rapporter des prix qui s'écartent des prix réels du marché, créant ainsi un risque de manipulation.

Par exemple, le 10 juin, la plateforme de prêt uwu lend a été attaquée, entraînant une perte d'environ 19,3 millions de dollars. Le cœur de cette attaque impliquait que l'attaquant manipulait l'oracle des prix en effectuant de gros échanges dans le pool curvefinance, ce qui affectait le prix du jeton susde. L'attaquant a ensuite exploité le prix manipulé pour retirer d'autres actifs du pool.

Par conséquent, lors de l'utilisation de protocoles Defi, il est important de diversifier vos investissements et d'éviter d'utiliser des protocoles qui n'ont pas été audités ou qui ont des pools de liquidité faibles.

2. divers sites de phishing

De nombreux utilisateurs ont probablement rencontré des sites de phishing. Les escrocs créent des faux sites officiels qui semblent légitimes et les diffusent largement via les réseaux sociaux, les e-mails, les groupes de discussion et autres canaux. Si un utilisateur visite un faux site Web et, tenté par certains avantages, connecte son portefeuille et accorde une autorisation, les actifs de son portefeuille peuvent être automatiquement volés.

Pour éviter cela, vérifiez toujours le domaine du dapp (url) lorsque vous visitez des sites web, en particulier ceux nécessitant une autorisation de portefeuille, comme les plateformes dex. Il est préférable de mettre en signet les sites web officiels que vous utilisez fréquemment au lieu de les rechercher sur Twitter ou Google à chaque fois, car les résultats de recherche peuvent parfois être trompeurs. De plus, évitez de cliquer sur les annonces de projets sur divers sites web, car les escrocs placent souvent de fausses annonces.

Évitez de cliquer sur les liens envoyés par des inconnus. Par exemple, une arnaque courante sur Discord implique que les escrocs envoient des messages avec des liens vers de fausses pages ou des publications Twitter (le lien de la publication Twitter peut être correct, mais il contient un lien frauduleux).

Si vous avez besoin d'installer des plugins de navigateur, n'installez que ceux que vous connaissez. Récemment, le 3 juin, un utilisateur a signalé avoir perdu un million de dollars après avoir installé une extension malveillante de Chrome appelée aggr.

par conséquent, lorsqu'il s'agit de plugins de navigateur (en utilisant chrome comme exemple), assurez-vous d'installer uniquement des plugins connus à partir du chrome web store pour éviter les extensions inconnues. Vous pouvez également envisager d'utiliser des plugins de vérification de sécurité tels que scamsniffer pour une navigation plus sûre.

Si vous êtes particulièrement préoccupé par la sécurité, envisagez de créer un profil d'utilisateur chrome distinct spécifiquement pour les interactions avec les dapps qui nécessitent l'accès au portefeuille. N'installez aucun plugin sur ce profil et assurez-vous de vous déconnecter immédiatement après avoir terminé vos transactions.

3. vérifiez régulièrement votre portefeuille

En plus de vérifier la sécurité et la fiabilité des protocoles lors de l'autorisation de divers dapps, il est conseillé de vérifier régulièrement l'historique d'autorisation de votre portefeuille et de révoquer toute autorisation qui pourrait être risquée ou peu claire, même si vous avez déjà déconnecté votre portefeuille.

Il existe plusieurs outils disponibles pour vérifier les autorisations de portefeuille, avec revokecash étant l'un des plus couramment utilisés, comme illustré dans l'image ci-dessous.

De plus, certains portefeuilles offrent des fonctionnalités pour gérer les autorisations historiques. Par exemple, le portefeuille rabby, qui est un portefeuille cryptographique sous debank, prend en charge cette fonctionnalité, comme le montre l'image ci-dessous.

en ce qui concerne l'utilisation du portefeuille, s'il y a une quantité importante d'actifs, il est conseillé de ne pas garder tous vos fonds dans des portefeuilles en ligne tels que Metamask ou Phantom. Vous pouvez conserver une partie de vos fonds fréquemment utilisés dans des portefeuilles en ligne (répartis entre plusieurs portefeuilles en ligne) et une autre partie sur des plateformes d'échange (répartis entre différentes plateformes, mais n'utilisez que les principales). Le reste des fonds doit être conservé dans des portefeuilles hors ligne.

De plus, les portefeuilles froids ne doivent pas nécessairement être des portefeuilles matériels comme ledger, trezor ou ellipal. Personnellement, j'utilise deux iPhone séparés hors ligne comme portefeuilles froids. Pour les transactions quotidiennes, j'utilise un iPhone séparé comme portefeuille en ligne (je ne recommande pas d'utiliser des téléphones Android), qui est également distinct de mon téléphone quotidien.

4. empêcher les faux largages aériens

Beaucoup de gens, en particulier les nouveaux venus, pensent aux largages aériens comme des jetons gratuits ou des NFT qu'ils peuvent revendiquer. Les escrocs en profitent en utilisant de faux largages aériens pour tromper les gens en leur faisant révéler leurs clés privées de portefeuille ou en les dirigeant vers des sites de phishing où ils autorisent leurs portefeuilles.

par exemple, vous pourriez recevoir de manière inattendue un NFT (une petite image) dans votre portefeuille avec une URL dessus, vous incitant à visiter le site Web. Si vous visitez le site et autorisez votre portefeuille, vos actifs pourraient être instantanément vidés.

lorsque vous voyez des adresses de revendication de jetons gratuits ou des liens de largage airdrop pour des projets populaires sur les réseaux sociaux, vérifiez toujours leur authenticité via le site officiel du projet. Ne partagez jamais votre phrase de sédimentation ou votre clé privée pour réclamer un largage airdrop. Votre phrase de sédimentation équivaut à tous vos actifs, ne la divulguez jamais à personne.

nous avons seulement répertorié ici quelques problèmes de sécurité courants et des conseils de prévention. l'espace crypto est truffé de méthodes d'escroquerie en constante évolution. les escrocs pensent en permanence à de nouvelles façons de tromper, soulignant le point que nous avons mentionné précédemment: lorsque quelqu'un se concentre sur une zone spécifique et continue à faire des recherches, il peut prendre de l'avance. les escrocs affinent toujours leurs tactiques, rendant de plus en plus difficile pour la plupart des gens de se protéger.

pour conclure, jetons un coup d'œil à quelques-unes des dernières nouvelles chaudes des derniers jours:

• Le 17 juin, Binance a inscrit ZkSync (ZK) à 16h00 heure de Beijing et a ouvert des paires de trading spot associées.
• le 17 juin, l'airdrop de zk nation est devenu disponible à 15:00 heure de Beijing.
• Le 16 juin, les données de la plateforme Geniidata ont montré que le rune cook•the•mempool a été entièrement émis, avec un total de 4 309 311 émissions, ce qui en fait le rune le plus émis actuellement, avec 28 435 adresses de détenteurs.
• Le 15 juin, le compte Twitter de la Fondation Layerzero a publié un message avec l'image «06.20.2024». Les gens spéculent que Layerzero pourrait annoncer ses informations de largage de jetons le 20.
• le 15 juin, le prix de TON a atteint un niveau historique. Les projets de jeux dans l'écosystème TON, tels que Pixelverse, Momoai, Hamster Kombat et Catizen, suscitent de plus en plus d'attention. Malgré le renversement général du marché, le toncoin est devenu récemment un rare point lumineux sur le marché.
• le 14 juin, ao (une couche 1 construite sur la plateforme de stockage de données arweave) a annoncé sa tokenomie, avec 36% alloués aux détenteurs de ar et 64% aux utilisateurs cross-chain.
• le 14 juin, il y a eu des rapports selon lesquels un ETF eth pourrait être lancé le 2 juillet.
• Le 14 juin, un article du magazine Forbes indiquait que CZ, actuellement emprisonné aux États-Unis, est la 24e personne la plus riche au monde, ce qui en fait la personne la plus riche jamais incarcérée, avec une fortune de 61 milliards de dollars. La richesse de CZ provient principalement de sa participation de 90% dans Binance et de sa détention de 94 millions de BNB, ce qui représente 64% de l'offre en circulation.

disclaimer：

1. cet article est repris de [话李话外], tous les droits d'auteur appartiennent à l'auteur original [话李话外]. s'il y a des objections à cette réimpression, veuillez contacter le Porte apprendrel'équipe s'en chargera rapidement.
2. Clause de non-responsabilité : les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent en aucun cas un conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe d'apprentissage de Gate.io. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.