À l'approche du Nouvel An lunaire, moment de renouveau et de bilan, il est temps de faire le point :
Cette année, avez-vous été victime d'un projet Rug Pull ? Avez-vous acheté au plus haut à cause des promesses d'un KOL ? Ou avez-vous subi une attaque de phishing de plus en plus courante, perdant des fonds en cliquant sur un lien frauduleux ou en signant un mauvais contrat ?
Objectivement, le Nouvel An ne crée pas de risques, mais il peut les amplifier — lorsque la fréquence des transactions augmente, que votre attention est distraite par les préparatifs des fêtes et que le rythme des échanges s'accélère, la moindre petite erreur peut facilement se transformer en perte importante.
Par conséquent, si vous prévoyez de réajuster votre portefeuille ou de réorganiser vos fonds autour des vacances, il serait judicieux de procéder à un « bilan de sécurité pré-fêtes » pour votre portefeuille. Cet article abordera également plusieurs scénarios de risques réels et fréquents, en passant systématiquement en revue les actions concrètes que les utilisateurs ordinaires peuvent entreprendre.
一、Méfiez-vous des escroqueries par « deepfake » vidéo et simulation vocale
Le SeeDance 2.0, récemment très populaire sur Internet, nous rappelle une fois de plus une réalité : à l'ère de la pénétration accélérée de l'AGI, « voir, c'est croire ; entendre, c'est la vérité » n'est plus valable.
On peut dire qu'à partir de 2025, les techniques de fraude basées sur l'IA pour la vidéo et la voix sont devenues nettement plus matures, incluant le clonage vocal, le deepfake vidéo, l'imitation des expressions faciales en temps réel et la simulation de l'intonation, entrant dans une « phase industrielle » à faible barrière d'entrée et reproductible à grande échelle.
En fait, grâce à l'IA, il est désormais possible de reproduire avec précision la voix d'une personne, son débit de parole, ses pauses habituelles, voire ses micro-expressions. Cela signifie que ce risque est particulièrement susceptible d'être amplifié pendant la période du Nouvel An.
Par exemple, sur le chemin du retour ou lors d'un rassemblement familial, un message s'affiche sur votre téléphone : un « ami » de votre carnet de contacts vous envoie un message vocal ou une vidéo via Telegram ou WeChat, semblant pressé, affirmant que son compte est bloqué, qu'il a besoin d'argent pour des enveloppes rouges, ou vous demandant de payer une petite somme de tokens en avance, vous suppliant de transférer des fonds immédiatement.
La voix semble parfaitement naturelle, la vidéo montre même une « personne réelle ». Dans ce contexte où votre attention est distraite par les préparatifs des fêtes, comment jugerez-vous ?
Les années précédentes, une vérification par vidéo était presque la méthode la plus fiable, mais aujourd'hui, même si votre interlocuteur parle devant sa caméra, ce n'est plus fiable à 100%.
Dans ce contexte, se fier uniquement à une vidéo ou à un message vocal ne suffit plus pour vérifier une identité. Une approche plus sûre consiste à établir, avec votre cercle central (famille, associés, collaborateurs de longue date), un mécanisme de vérification indépendant de la communication en ligne, comme un code secret offline que vous seul connaissez, ou des questions de détail qui ne peuvent être déduites d'informations publiques.
De plus, il faut reconsidérer un risque courant lié au parcours : les liens transférés par des connaissances. Comme le veut la tradition, pendant le Nouvel An, les « enveloppes rouges on-chain » et les « avantages d'airdrop » deviennent facilement des entrées incitatives à la propagation virale dans la communauté Web3. Beaucoup ne sont pas trompés par des inconnus, mais parce qu'ils font confiance à un lien partagé par une connaissance, cliquant ainsi sur une page d'autorisation soigneusement déguisée.
Par conséquent, il est crucial de retenir un principe simple mais extrêmement important : ne cliquez jamais directement sur un lien de source inconnue via les plateformes sociales, et ne l'autorisez surtout pas, même s'il provient d'une « connaissance ».
Il est préférable que toutes les opérations on-chain soient effectuées via des canaux officiels, des URL enregistrées ou des entrées fiables, et non pas directement dans une fenêtre de chat.
二、Faites le « grand nettoyage de fin d'année » de votre portefeuille
Si le premier type de risque provient de la falsification technologique de la confiance, le second provient de nos propres risques cachés accumulés sur le long terme.
Comme on le sait, l'autorisation est le mécanisme le plus fondamental et le plus négligé du monde DeFi. Lorsque vous opérez sur une DApp, vous donnez essentiellement à un contrat un droit de disposition sur vos tokens. Cela peut être ponctuel, avec un montant illimité, valable à court terme, ou rester actif alors que vous avez depuis longtemps oublié son existence.
En fin de compte, ce n'est pas nécessairement un point de risque immédiat, mais c'est une exposition au risque qui persiste. De nombreux utilisateurs pensent à tort que tant que les actifs ne sont pas déposés dans un contrat, il n'y a pas de problème de sécurité. Mais pendant les cycles de marché haussier, les utilisateurs essaient souvent fréquemment de nouveaux protocoles, participent à des airdrops, du staking, du farming et des interactions on-chain. Les enregistrements d'autorisation s'accumulent, et lorsque l'engouement retombe, de nombreux protocoles ne sont plus utilisés, mais les autorisations restent.
Avec le temps, ces autorisations historiques excédentaires sont comme un tas de clés non rangées. Si un protocole que vous avez oublié depuis longtemps subit une faille de contrat, cela peut facilement entraîner des pertes.
Et le Nouvel An est un moment naturel pour faire le point. Profiter de la fenêtre de temps relativement calme précédant les fêtes pour vérifier systématiquement une fois vos historiques d'autorisation est une action très utile :
Concrètement, vous pouvez révoquer les autorisations que vous n'utilisez plus, surtout celles à montant illimité ; utiliser des autorisations à montant limité pour les actifs importants détenus au quotidien, plutôt que de laisser des autorisations ouvertes à long terme sur l'intégralité du solde ; et séparer la gestion des actifs de stockage à long terme de ceux utilisés pour les opérations quotidiennes, en créant une structure stratifiée avec un portefeuille chaud (hot wallet) et un portefeuille froid (cold wallet).
Par le passé, de nombreux utilisateurs devaient recourir à des outils externes (comme le site revoke.cash) pour effectuer ce type de vérification. Aujourd'hui, des portefeuilles Web3 grand public comme imToken intègrent déjà des capacités de détection et de révocation d'autorisations, permettant de visualiser et gérer directement les historiques d'autorisation depuis le portefeuille.
En fin de compte, la sécurité d'un portefeuille ne consiste pas à ne jamais autoriser, mais à appliquer le principe du moindre privilège — n'accorder que les permissions nécessaires sur le moment, et les révoquer promptement lorsqu'elles ne sont plus nécessaires.
三、Déplacements, vie sociale et opérations quotidiennes : ne relâchez pas votre vigilance
Si les deux premiers types de risques proviennent respectivement des avancées technologiques et de l'accumulation d'autorisations, le troisième type provient des changements d'environnement.
Les déplacements du Nouvel An (retour au pays natal, voyages, visites à la famille et aux amis) impliquent souvent des changements fréquents d'appareils, des environnements réseau complexes et des scénarios sociaux denses. Dans un tel environnement, la gestion des clés privées et la fragilité des opérations quotidiennes sont considérablement amplifiées.
La gestion de la phrase de récupération (seed phrase) est l'exemple le plus typique. Prendre une capture d'écran de la phrase de récupération et la sauvegarder dans la galerie photo du téléphone, sur le cloud, ou la transférer via une messagerie instantanée pour soi-même, est souvent motivé par un souci de commodité. Mais dans un contexte mobile, cette commodité constitue précisément le plus grand risque.
Rappelez-vous donc : la phrase de récupération doit rester physiquement isolée, éviter tout stockage en ligne. La ligne de base de la sécurité des clés privées est d'être déconnectée du réseau.
Les scénarios sociaux nécessitent également une conscience des limites. Lors des fêtes, montrer des pages affichant des actifs importants, discuter de la taille spécifique de ses holdings, est souvent fait sans mauvaise intention, mais peut semer les graines de risques futurs. Il faut être encore plus vigilant face aux comportements qui, sous couvert d'« échange d'expériences » ou de « conseils pédagogiques », incitent à télécharger des applications ou extensions de portefeuille factices.
Tous les téléchargements et mises à jour de portefeuille doivent être effectués via des canaux officiels, et non pas via des redirections depuis des fenêtres de chat social.
De plus, avant tout transfert, assurez-vous toujours de trois choses : le réseau, l'adresse, le montant. Après tout, il y a déjà eu de nombreux cas de baleines (whales) ayant subi des pertes importantes d'actifs à cause d'erreurs de manipulation avec des attaques par adresses aux premiers et derniers caractères similaires. De plus, ces attaques de phishing sont devenues industrialisées ces six derniers mois :
Les pirates génèrent souvent en masse une multitude d'adresses on-chain avec des premiers et derniers caractères différents, constituant ainsi une bibliothèque de graines prêtes. Dès qu'une transaction est effectuée vers une adresse externe, ils trouvent immédiatement dans leur bibliothèque une adresse avec les mêmes premiers et derniers caractères, puis appellent un contrat pour effectuer un transfert associé, lançant un vaste filet en attendant des prises.
Étant donné que certains utilisateurs copient parfois directement l'adresse cible depuis l'historique des transactions et ne vérifient que les premiers et derniers caractères, ils mordent à l'hameçon. Selon Yu Xian, fondateur de SlowMist, concernant les attaques de phishing ciblant les premiers et derniers caractères, « les pirates jouent à une attaque au filet, les poissons mordent s'ils veulent, c'est un jeu de probabilités ».
Le coût du Gas étant extrêmement faible, les attaquants peuvent empoisonner par lots des centaines, voire des milliers d'adresses, attendant que quelques utilisateurs commettent une erreur en copiant-collant. Une seule réussite rapporte bien plus que le coût.
Et ces problèmes ne résident pas dans la complexité technique, mais dans les habitudes opérationnelles quotidiennes des utilisateurs :
- Vérifiez l'intégralité des caractères de l'adresse, et non pas seulement le début et la fin ;
- Ne copiez pas directement une adresse de transfert depuis l'historique sans la vérifier ;
- Lors du premier transfert vers une nouvelle adresse, effectuez d'abord un test avec un petit montant ;
- Privilégiez la fonction de liste blanche d'adresses (whitelist) pour gérer de manière fixe les adresses fréquemment utilisées.
Dans le système décentralisé actuel, principalement basé sur les comptes EOA, l'utilisateur reste toujours son propre premier responsable et sa dernière ligne de défense (lecture complémentaire : « La « taxe compte » de 3,35 milliards de dollars : Quand les EOA deviennent un coût systémique, que peut apporter l'AA (Account Abstraction) au Web3 ? »).
Pour conclure
Beaucoup pensent que le monde on-chain est trop dangereux et peu accueillant pour les utilisateurs ordinaires.
Pour être honnête, le Web3 ne peut effectivement pas offrir un monde sans risque, mais il peut devenir un environnement où le risque est gérable.
Par exemple, le Nouvel An est un moment où le rythme ralentit, et c'est aussi la fenêtre temporelle la plus propice de l'année pour réorganiser sa structure de risque. Plutôt que d'opérer dans la précipitation pendant les fêtes, il vaut mieux effectuer les vérifications de sécurité à l'avance ; plutôt que de réparer après coup, il vaut mieux optimiser les autorisations et les habitudes en amont.
Nous vous souhaitons à tous un Nouvel An paisible et prospère, et que les actifs on-chain de chacun soient stables et sans souci pour la nouvelle année.
