Wallet Security

Things you need to know about crypto wallet

Ces informations n'ont pas pour objectif de mener à un quelconque conseil en investissement.

Custodial Wallet

"Not Your Keys, Not Your Coins". Un custodial wallet est un portefeuille dont vous ne possédez pas la clef privée (qui correspond très souvent une suite de 12/24 mots). Ce sont des wallets ouverts par des échanges centralisés, ils en possèdent donc les clefs privées.

En cas de non respect des règles imposés par le CEX ou de la loi du pays dans lequel vous vivez une mainmise sera faite sur le compte.

De plus, les custodial wallet présentes des risques et vulnérabilités qui ont pu être exploitée au fil du temps dans lesquels la responsabilité des utilisateurs se limite à avoir accordé sa confiance à des structures opaques ne sachant pas gérer la santé de sa finance ainsi que de son système d'informations.

Risk

Technical risk

Il est déjà arrivé que des plateformes hébergeant des wallet de clients se soient fait hack en ayant perdu les fonds de leur utilisateurs, en les ayant remboursés ou non. Nous vous recommandons, quoi qu'il en soit d'utiliser une méthode d'authentification forte pour l'accès à vos comptes. e.g MtGox

Financial abuse

En hebérgant vos fonds chez une institution, vous n'êtes plus souverain de ceux-là et la gestion interne de cette institution peut vous être totalement opaque. Il faut s'assurer du mieux possible de la santé financière de ces mêmes institutions en vérifiant les audits passés, leur qualité et ceux l'ayant certifié.

pour plus d'informations, CEX Transparancy.

Malgré les multiples vérifications, il y aura toujours une part opaque dont vous ne pourrez jamais avoir l'information et enfin de compte être cruciale dans la santé financière de la structure garantissant la détenances de fonds propres.

e.g FTX, Celsius

Security Recommandation

Les recommandations de sécurité pour custodial wallet sont les mêmes que celle pour n'importe quel compte hébergé sur une webapp :

Mot de passe à minimum 100 bits d'entropy

Utiliser le MFA

Processus de revu de l'historique des adresses IP de connexions au site

Non-Custodial Wallet

Un non-custodial Wallet est un portefeuille dont vous possédez les clefs privées. Il incombe donc votre responsabilité la gestion de vos fonds stockés dessus, au contraire d'un custodial wallet qui porte cette responsabilité au gérant du service auxquels vous souscrivez.

Il existe plusieurs manière d'utiliser les non-custodial wallet qui seront détaillées ci-dessous.

Wallet type

Software Wallet (or Hot Wallet)

Un Hot Wallet est aujourd'hui le type de wallet le plus utilisé par son accessibilité : non couteux, facile d'utilisation et grande mobilité.

Ce sont les types de wallet les plus exposés et les plus attaqués aujourd'hui.

L'utilisateur moyen ne prenant pas ses précautions vis-à-vis des vulnérabilités & attaques communes tels que phishing, malware, etc. Il peut être dangereux

Hardware Wallet (or Cold Wallet)

Un Hardware Wallet permet la validation de transaction uniquement en possession d'une clef privée physique qui améliore donc la sécurité vis à vis d'un software wallet simple exposés aux nombreuses vulnérabilités de part son format d'extension web et évite aussi les erreurs d'inattentions vous faisant signer des contrats autorisant l'extraction de vos fonds.

Il ne faut surtout pas acheter ce genre de produits à votre nom et encore moins à votre adresse.

Des leaks (internes ou externes) de base de données de clients sont déjà arrivés et donnent l'information à quiconque veut vous extorquer les informations les plus précieuses que vous détenez.

e.g. Leak Ledger "Your crypto assets are safe. While very truly and sincerely regrettable, this breach concerns only e-commerce related information."

Le problème est qu'une fuite de données peut avoir des conséquences bien plus graves qu'un vol de fonds.

Multi Signature

Un Wallet Multi-signature est une excellente alternative en terme de sécurité. Ce processus permet de valider une transaction seulement si les parties prenantes définie dans le contrat ont validés celle-ci. A savoir qu'il faut minimum 2 parties prenantes (wallet), et qu'il est possible de valider la trasaction avec une validation manquante

e.g un Wallet multi-signature configuré en 2/3 permet de valider la transactions si 2 des 3 adresses distinctes renseignées lors de la configuration du multi-signature ont validé la transactions.

De nombreux cas d'usages peuvent être associé au multi-sig :

  • Personne seule détenant plusieurs clefs privées voulant éviter le risque de se faire siphonner ses fonds dans le cas où il n'en aurait qu'une.

  • Fonds communs à une organisation de plusieurs parties prenantes ne voulant pas donner le plein droit à une seule personne.

Et ainsi de nombreux problèmes de pertes de fond lié au "single point failure" associé à la détention d'assets sur un wallet single signature sont évités

ENS (Ethereum Name Service)

ENS est un système permettant de nommer votre adresse, il est en effet beaucoup plus simple de pouvoir vérifier l'adresse (clef publique) avec laquelle vous interagissez en la rendant remarquable.

Certains malware peuvent modifier l'adresse à laquelle vous voulez envoyer des fonds en reconnaissant le format 0x et double vérification avant confirmation d'envoi vos fonds seront perdus sans une quelconque possibilité de récupération de ceux-là.

Pour plus d'informations, ENS documentation

Contract approval

Les Contract Approval venant de protocol/app corrompus ou malicieux peuvent siphonner les fonds de votre wallet

Lors de l'utilisation de protocol/dApp des demandes d'autorisations sont parfois nécessaires à leur exploitation.

Dans le cas où vous approuvez ces autorisations par des signatures (répertoriées on-chain), venant de protocoles malicieux ou subissant un exploit, vos fonds sont à risque et ont de grandes chances d'être transféré sur le wallet des attaquants.

Prevention

Pour cela, rien de plus complexe que de se tenir en veille, mais aussi de prendre connaissance des fondamentaux techniques des outils financiers utilisés : "Don't trust, Verify" et cela est valable pour l'ensemble des protocoles peu importe leur taille.

N'approuvez l'autorisation uniquement à la hauteur du montant que vous êtes prêts à perdre.

Il est possible de vérifier les autorisations et le montant plafonné sur DeBank.

e.g. Wormhole.

Remediation

Il est toujours possible de remédier aux contrats que vous avez signez en les révoquant simplement. Les sites permettant de traquer vos wallets permettent cela, entre autres : DeBank.

Il est important d'implémenter un processus de revu des autorisations signées.

Pour plus d'informations, On-chain Analysis solution.

Good Practices

  • Ne pas se doxxer en y associant l'adresse de votre wallet.

  • Ne jamais évoquer la détention crypto et encore moins de quelle manière vous la stockez.

  • Utiliser les validations multi-signature pour éviter ce "single point of failure"

  • Utiliser des hardware wallet comme signataire de transactions pour augmenter drastiquement la sécurité.

  • Stocker les adresses signataires sur différents point d'accès et ne donc ne surtout pas laisser ses clefs privées sur le même device afin de compartimenter du mieux possible l'accès aux différentes clefs dans le cas d'une attaque.

Wallet list

Plus de wallet EVM

Refs

Credit
Website

Rekt

https://rekt.news/leaderboard/

ENS

https://docs.ens.domains/

NextValidator / Node

Last updated