Le guide anti-hameçonnage le plus détaillé de l’écosystème Bitcoin sur le Web

Auteur original : OneKey Chinese (X :@OneKeyCN)

Note de l’éditeur : La mise à niveau de Taproot et Segwit a introduit de nouvelles fonctionnalités dans le réseau BTC et a également indirectement élargi les données de bloc, contribuant ainsi à l’explosion de l’écosystème BTC de 2023 à aujourd’hui. Cependant, l’introduction de nouveaux actifs et de nouvelles fonctionnalités s’accompagne de nouveaux défis en matière de sécurité. Comment maximiser la sécurité des actifs dans l’écosystème BTC avec une infrastructure de sécurité limitée ?OneKey Chinese a préparé un guide anti-phishing pour les acteurs de l’écologie Bitcoin, organisé par Odaily Planet Daily comme suit :

À la fin de l’année 2021, la mise à niveau de Taproot est entrée en vigueur aux blocs 709 et 632. À cette époque, les gens étaient plongés dans le boom des NFT Ethereum, et personne ne savait qu’il s’agirait de la mise à niveau la plus « rentable » du BTC.

Avec la mise à niveau Segwit, Taproot a introduit de nouvelles fonctionnalités dans le réseau BTC et a également indirectement mis à l’échelle les données de bloc (équivalentes à 1 Mo à 4 Mo), qui sont devenues le fusible de l’explosion de l’écosystème BTC de 2023 à aujourd’hui. L’émergence de nouveaux actifs tels que les actifs Taproot, les ordinaux BRC-20, ARC-20, Runes, etc., a également maintenu le taux d’adoption des transferts de Taproot à la moitié, voire au-dessus.

Cependant, l’introduction de nouveaux actifs et de nouvelles fonctionnalités s’accompagne de nouveaux défis en matière de sécurité.

L’écosystème Bitcoin a un modèle sous-jacent qui est différent de l’écosystème Ethereum. À l’heure actuelle, la scène de « beaucoup de choses à construire » et « un seuil élevé de compréhension » dans l’écologie des nouveaux actifs BTC est censée susciter l’enthousiasme de nombreux utilisateurs - après tout, cela signifie souvent une opportunité de « devenir riche ».

Cependant, cela mettra également en avant de nouvelles exigences pour la sensibilisation des utilisateurs à la sécurité des opérations, sinon il est facile de perdre des pièces sans explication. Il y a même eu des incidents tels que la précédente place de marché Atomic qui ont utilisé à mauvais escient les types de signature et ont conduit au piratage.

OneKey ci-dessous vous explique comment protéger les actifs et empêcher l’hameçonnage dans un écosystème BTC avec une infrastructure de sécurité limitée.

Une brève analyse de l’impact spécifique de la mise à jour de Taproot

Avant de parler des mesures anti-phishing spécifiques, nous devons prévoir l’impact de la mise à niveau de Taproot.

En plus de la promotion indirecte de la prospérité de l’écosystème multi-actifs BTC mentionnée précédemment, il y a eu de grands changements au bas de la transaction BTC, principalement deux : la signature Schnorr et la technologie MAST. Et lorsque ces deux éléments sont combinés avec les PSBT (Partially Signed Transactions), il y a plus de place pour que les pirates jouent des tours.

L’un d’eux est signé par Schnorr. C’est vrai, cette mise à niveau a remplacé la signature ECDSA dans le livre blanc. La caractéristique technique de cette signature est que plusieurs signatures ou clés publiques sont agrégées en une seule. Dans le passé, plusieurs signatures devaient être confirmées encore et encore, mais aujourd’hui, elles ne doivent être vérifiées qu’une seule fois, ce qui réduit directement l’empreinte des signatures.

L’une d’entre elles est la technologie MAST. Si le premier est une signature agrégée, alors MAST est utilisé pour « agréger » plusieurs scripts (pour les scripts, vous pouvez le considérer comme un « contrat intelligent » fini pour Bitcoin). Dans le même temps, lorsque vous soumettez le coût de déverrouillage de la vérification, vous n’avez qu’à vérifier l’une des conditions de dépense. L’encombrement des scripts complexes pour de nombreuses conditions peut être considérablement réduit.

Ces deux technologies ont le plus grand impact sur la vie privée, mais elles impliquent également des risques pour la sécurité.

Pour les enregistrements de transfert, tous les transferts UTXO auront le même aspect après la mise à niveau. Dans Mempool, le type de transfert est affiché sous la forme P2TR et les adresses sont toutes des adresses de la même longueur commençant par bc1p.

Auparavant, vous pouviez facilement faire la différence entre un transfert vers une adresse normale (P2PKH/P2WPKH) et un transfert vers une adresse de script (P2SH/P2WSH).

Maintenant, jusqu’à ce que vous regardiez combien de personnes dépensent un UTXO, vous ne pouvez pas faire la différence entre transférer de l’argent à une adresse normale et transférer de l’argent à une adresse script.

Pour les scripts, la vérification du mineur n’a besoin d’exposer qu’une seule des conditions de coût du script, et les autres scripts de branche sont inconnus du monde extérieur.

5 conseils pour prévenir le phishing de nouveaux actifs dans l’écosystème Bitcoin

De toute évidence, l’infrastructure de sécurité de l’écologie actuelle des actifs du BTC est beaucoup moins puissante que celle d’Ethereum, et il y a beaucoup de choses que les utilisateurs doivent d’abord comprendre et apprendre.

Dans le même temps, le principe du phishing est également différent de celui d’Ethereum, et de nombreuses attaques de phishing peuvent ne pas être bien comprises par l’ensemble du marché tant qu’elles ne sont pas découvertes. Par exemple, l’incident de sécurité de la signature *SIGNHASH_NONE sur la place de marché Atomic, le portefeuille Unisat / Xverse est également une alerte de sécurité qui a été ajoutée ultérieurement.

(1) La première technique mentale : les compétences de base clichées de la sécurité du chiffrement

C’est-à-dire, faites attention à la sécurité du stockage hors ligne de la clé privée, faites attention à savoir s’il s’agit d’une URL de confiance et faites attention à protéger l’ordinateur contre les chevaux de Troie, etc.

Cependant, sur le marché du FOMO, il peut y avoir des utilisateurs qui veulent « se précipiter » avant qu’un nouveau projet n’ait formé un consensus de confiance, et les prochaines astuces sont particulièrement importantes.

(2) La deuxième technique mentale : l’entrée et la sortie claires

Par exemple, si un pirate veut récupérer tous vos NFT d’inscription Ordinals en même temps, l’INPUT de la transaction montrera certainement que tous vos NFT d’inscription ont été placés. DANS LE MÊME TEMPS, LA SORTIE MONTRERA QU’ILS SONT TOUS ALLÉS À UNE ADRESSE INCONNUE.

Prenons, par exemple, l’utilisation d’Unisat pour placer un NFT d’inscription Ordinals sur MagicEden. Lorsque vous passez une commande pour un ou plusieurs NFT d’inscription sur la place de marché MagiEden, une demande de signature PSBT contextuelle indiquera que l’entrée de la transaction est une ou plusieurs de vos inscriptions, et la sortie indiquera le nombre de bitcoins que vous recevrez une fois la transaction réussie.

(3) La troisième technique mentale : Attention au type de signature

Vous pouvez voir la science populaire du type de signature actuel de Bitcoin ici (…) ）。

Dis-le qu’il s’agit d’une véritable adresse de script. Cela dépend s’ils exposent ou non le contenu complet de l’adresse du script. Si le contenu est incomplet, il est possible de masquer une ou plusieurs conditions de déverrouillage UTXO malveillantes, même si l’utilisateur peut signer la ressource de transfert normalement lorsqu’il l’utilise. Il se peut qu’il « ferme le net » soudainement et transfère tous les actifs d’UTXO un jour dans le futur.

Heureusement, pour l’application actuelle, la transaction de divers actifs d’inscription n’a pas besoin d’utiliser des scripts complexes, et le PSBT (Partially Signed Transaction) est utilisé pour spécifier l’entrée et la sortie.

Cependant, dans la future opération BTC L2, il y a une forte probabilité que des scripts Bitcoin complexes et multi-conditions soient impliqués. Par exemple, dans le script de jalonnement Bitcoin de Babylon (@babylon_chain), il existe une logique de slashing et de déverrouillage relativement complexe.

Si vous souhaitez utiliser cette méthode de jalonnement native de Bitcoin Script, il est particulièrement important d’ouvrir le script et d’en vérifier la sécurité et l’intégrité, sinon les utilisateurs doivent avoir une confiance absolue dans la partie du projet.

(5) La cinquième technique mentale : faire attention à la dynamique de sécurité et faire attention à la prévention

Suivez les meilleurs comptes dans le domaine de la sécurité pour vous assurer que vous pouvez vous tenir au courant des dernières méthodes d’hameçonnage et recevoir des avertissements dès que possible. Tels que Cosine @evilcos de SlowMist, Go Plus Security Official @GoPlusSecurity, Scam Sniffer@realScamSniffer, notre compte officiel OneKey, @OneKeyCN.

Lorsqu’il s’agit de prévention avant qu’elle ne se produise, nous pouvons transférer les leçons de sécurité d’autres endroits. Par exemple, dans Ethereum, il existe une telle méthode d’hameçonnage, c’est-à-dire la construction d’adresses avec des faces et des queues similaires, ce qui fait perdre aux utilisateurs des actifs en les copiant par erreur dans l’historique. Et lors de la construction de transactions de signature BTC, il est également possible de marcher sur la fosse car l’adresse de sortie n’est pas clairement vérifiée.

Dans les portefeuilles écologiques BTC grand public tels que Unisat / Xverse, l’adresse Taproot est affichée sous la forme bc1px… e9wh0 (exemple), et bc1p est le début fixe de l’adresse Taproot.

Cela équivaut à seulement 6 lettres pour la confirmation. Par rapport à la configuration standard des portefeuilles Ethereum qui ont une fonction de carnet d’adresses commune et affichent essentiellement plus de 10 chiffres, ce n’est évidemment pas suffisant.

Cela signifie qu’il y a de fortes chances que les pirates puissent faire du phishing personnalisé en générant des adresses correspondantes (bien qu’il n’y en ait pas beaucoup sur Bitcoin pour le moment).

Par conséquent, si vous faites quelque chose pour éviter que cela ne se produise, vous devez vérifier l’adresse aussi complète que possible.

Toute façon…

Étudiez Bitcoin.

Étudiez la sécurité du bitcoin.

Au fur et à mesure que Taproot introduit de nouveaux actifs et de nouveaux scénarios pour Bitcoin, nous devons également apprendre de nouvelles formes de menaces de sécurité, en particulier les techniques de phishing en constante évolution.

Surtout maintenant que l’infrastructure écologique n’est pas parfaite, même les mauvais fonctionnements, les pertes et les brûlures de pièces se produisent de temps en temps, sans parler de la pêche bien planifiée.

Dernier point, mais non des moindres : OneKey donne toujours la priorité à la sécurité, en se tenant au courant des développements technologiques et en mettant à jour et en partageant les politiques de sécurité. L’écosystème BTC est l’un des protagonistes de cette course haussière, et nous continuerons à prêter attention aux défis de sécurité de l’écosystème BTC et à travailler ensemble pour promouvoir et construire un environnement d’actifs cryptographiques plus sûr.

Lien vers l’article original