[Sensibilisation Hack & Approval Attacks]
0/ Hello! Je vois de plus en plus la commu crypto se faire siphonner leur wallet et ne pas comprendre pourquoi. Approuver une transaction n’est jamais safe ! Un risque énorme existe : le siphonnage par approval. Parlons-en aujourd'hui !
0/ Hello! Je vois de plus en plus la commu crypto se faire siphonner leur wallet et ne pas comprendre pourquoi. Approuver une transaction n’est jamais safe ! Un risque énorme existe : le siphonnage par approval. Parlons-en aujourd'hui !
1/ Parmi les hacks qui ont fait le plus mal, on retrouve le Unlimited approval. Ce fameux hack qui siphonne votre Wallet sans comprendre pourquoi ni comment. On va donc parler des types de wallets et des approvals.
https://twitter.com/zachxbt/status/1506008570327756801
2/ Pour interagir avec des protocoles, vous avez besoin de Wallets dont l’interface est souvent une application UI comme Kepl[r], MetaMxsk ou Phanto[m] pour les EVM. Après si vous êtes un puriste y’a le CLI ! Les 3 wallets les plus communs sont :
3/ → Cold wallet: il n’interagît JAMAIS. Ce type de Wallet doit donc être offline. Ce Wallet est conçu pour des receptions de tokens uniquement ! Pas d’approval attaque possible.
4/ → Hardware Wallet, le risque est très bas. Le hardware wallet marche comme un 2-FA, c’est à dire que tout approval nécessite un deuxième approval avec votre ledger. Vous êtes protégé d’une approval attack ici.
5/ → Hot wallet ou juste Wallet, vous l’utilisez pour interagir avec des protocoles, pour envoyer et recevoir : c’est sans doute le cas de 90% d’entre vous, MetaMxsk, Phanto[m], Kepl[r], ... Celui-ci est le plus risqué car le moins sécurisé !
6/ Mais qu’est ce qu’une approval attack ? Avant d’interagir avec un contrat vous autorisez la plateforme à user de votre compte afin de par exemple auto-compound. Donc vous appelez, la fonction approve qui permet au contract de transfermerFrom depuis votre compte au besoin.
7/ Le plus gros vice aujourd’hui c’est que pour des raisons d’expérience utilisateur, ils wraps toutes les transactions (approve, transferfrom authorization) en une seule histoire de minimiser le nombre de clicks. On est donc tous sujet à au problème de l’approval.
8/ Des normes sur Ethereum arrivent comme l’ERC 777 ou l’EIP2612, pour obliger à séparer les transactions ou simplement plus compartimenter le compte. En attendant la seule solution est de se défendre soit meme avec les bonnes techniques.
9/ Voici une petite liste to-do list pour améliorer votre setup crypto et être plus safe que la moyenne. Je l’ai complété à partir de quelques rekts que j’ai trouvé.
• Utilisez un hardware wallet. C’est vraiment important, et quasi essentiel pour éviter les approvals attaques!
• Évitez Windows. La plupart des script ne peuvent tourner que sur Windows tout comme le fléau des macros Excel et pdf ! Des scripts malveillants s’y cachent et vous feront des dégâts comme les .bin aussi. Utilisez Linux ou Mac de préférence.
• Si vous le pouvez, ne prenez un ordinateur que pour vos interactions crypto ! Vous réduirez les risques venant de vos mails de phishing etc.
• Utilisez un VPN pour éviter qu’on observe vos IP qui interagissent avec MetaMxsk ou tout Wallet.
• Ne montrez pas vos BAYC et votre prospérité sur les réseaux, un peu de social engineering et de doxxing pourrait venir à bout des plus méfiants.
• Ne montrez pas vos BAYC et votre prospérité sur les réseaux, un peu de social engineering et de doxxing pourrait venir à bout des plus méfiants.
• Éparpillez votre capital sur plusieurs wallets. Les œufs sur le même papier c’est non !
• Créez de nouvelles adresses pour chaque nouveau protocol avec le quel vous interagissez, il aura beau être audité mais si le dev front-end se décide à rug, il se fera un plaisir de script un unlimited approval. → C’est ultra important :)
• Révoquez vos approvals régulièrement ! @Debank fait ça très bien! Enfin, privilégiez MetaMxsk Wallet a Coinbxse : vous pourrez manager vos approvals durant vos transactions.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
