4 choses à apprendre du piratage embarrassant de Slope sur Solana

Nous dirions « ne faites confiance à personne », mais vous devez faire confiance à quelqu’un. Choisis sagement.

Nous savons maintenant que le piratage qui a vidé des milliers de portefeuilles d’utilisateurs (plus de 8 000 au moment de la rédaction) sur la plate-forme de crypto-monnaie Solana n’était pas le résultat d’une sorte de défaillance du système à grande échelle. Cela était très probablement dû à des pratiques de sécurité extrêmement mauvaises du fournisseur de portefeuille de crypto-monnaie Slope.

Selon la société de sécurité Otter, le piratage était dû au fait que Slope envoyait les phrases de départ des utilisateurs en clair à un serveur centralisé. Une phrase de départ est l’équivalent d’une clé privée cryptographique ; c’est une chaîne de mots qui « déverrouillent » les fonds dans un portefeuille crypto, permettant à quiconque possède la phrase d’en faire ce qu’il veut. « Texte en clair » signifie que ces phrases ont été envoyées sur Internet sans être cryptées, ce qui en fait une cible facile pour les pirates.

Le tweet a peut-être été supprimé

En bref : Slope a fait quelque chose qu’aucune entreprise ne devrait jamais faire, et cela a coûté plus de 4 millions de dollars à ses utilisateurs. (Pour mémoire, Slope a dit dans une déclaration officielle que « rien n’est encore ferme » concernant le piratage, mais plusieurs autre experts d’accord avec Otter.)

Le nombre n’est pas énorme dans le monde des crypto-monnaies, où plusieurs millions de hacks sont monnaie courante. Mais le piratage était un cauchemar pour les utilisateurs de crypto, car les fonds des gens commençaient à disparaître au hasard de leurs portefeuilles, et il a fallu près d’une journée aux experts en sécurité pour rattraper leur retard et comprendre ce qui s’était passé.

Alors, que pouvez-vous faire pour vous assurer que de tels événements ne vous affectent pas à l’avenir ? Aucune stratégie n’est infaillible, mais voici quelques conseils.

1. Les portefeuilles logiciels de crypto-monnaie peuvent être ridiculement mauvais en matière de sécurité

On pourrait penser qu’une entreprise spécialisée dans les portefeuilles cryptographiques n’enverrait même pas d’emoji non chiffrés, mais on se tromperait. Slope semble avoir commis l’une des pires infractions possibles en envoyant des phrases de départ aux utilisateurs non cryptées sur Internet.

Le tweet a peut-être été supprimé

La leçon à tirer ici est la suivante : même lorsqu’une entreprise dit que la sécurité est une priorité ; même lorsqu’il fonctionne dans un espace où la sécurité est extrêmement importante ; même quand ils jurent que vos fonds sont en sécurité, vous devez toujours rester vigilant.

2. Toute la cryptographie du monde n’aide pas quand il y a un maillon faible

Lorsque vous configurez un portefeuille cryptographique, vous recevez généralement des messages indiquant que vous devez conserver votre phrase de départ et votre clé privée en toute sécurité et ne les montrer à personne. Vous pouvez également voir des avis indiquant qu’il y a une cryptographie avancée à l’œuvre ici, et si vous perdez à la fois votre phrase de départ et l’accès à votre clé privée, vous ne pourrez jamais récupérer vos fonds.

Bien que cela puisse être vrai dans certains cas, si le portefeuille lui-même gère mal votre phrase de départ, les protections cryptographiques les plus avancées seront de peu d’utilité.

3. Utilisez un portefeuille matériel si possible

Un portefeuille matériel de crypto-monnaie est un appareil, souvent similaire à une clé USB, qui vous permet de conserver, de dépenser et de recevoir des crypto-monnaies. Il offre généralement plus de sécurité qu’un portefeuille logiciel, bien qu’il soit un peu plus compliqué à utiliser.

Lorsque l’attaque Slope a commencé à toucher les portefeuilles des utilisateurs, Solana et Slope ont conseillé aux utilisateurs de transférer leurs fonds vers un portefeuille matériel. C’est un bon conseil en principe, mais la plupart des utilisateurs n’ont pas de portefeuille matériel à portée de main, et en commander un en ligne et le recevoir prend généralement quelques jours.

Donc, une chose que vous pouvez faire, surtout si vous gérez des quantités importantes de crypto, est de commander un portefeuille matériel avant que la catastrophe ne se produise. Des entreprises comme Trezor et grand livre offrez-en un. Gardez à l’esprit, cependant, que même les portefeuilles matériels peuvent avoir des failles de sécurité et que les entreprises qui les fabriquent peuvent avoir de mauvaises pratiques de sécurité. Par exemple, Ledger a eu une horrible fuite de données dans lequel les pirates ont mis la main sur les noms, adresses personnelles et autres données de ses utilisateurs. D’autre part, Trezor, qui a un bon dossier de sécurité, ne prend pas en charge Solana au moment d’écrire ces lignes.

4. Parfois, un échange centralisé peut vous faire économiser

En crypto, il y a un dicton : Pas vos clés, pas vos pièces. Cela signifie que si vous conservez vos pièces chez un tiers, comme un échange cryptographique centralisé, vous ne contrôlez pas vraiment ce qui leur arrive.

Mais dans le cas du piratage Slope d’hier, la meilleure chose que vous puissiez faire pour protéger vos pièces (si vous n’aviez pas accès à un portefeuille matériel) était de les envoyer à un échange tel que FTX ou Binance, car il était peu probable que ces échanges ont également été touchés par le même problème. Comme mesure de sécurité rapide, c’était une option décente; vous pouvez toujours déplacer vos pièces ailleurs une fois la poussière retombée.