Les experts en sécurité Blockchain révèlent : protéger la Clé privée, se méfier de la pêche et comprendre les mécanismes d'autorisation sont les trois clés de la sécurité du chiffrement.
À propos du chiffrement de la sécurité de la Depth
Animateur : Alex, chercheur
Invité : Zhou Yajing, PDG d'une entreprise de sécurité blockchain
Date d'enregistrement : 2025.3.28
La portée des services de BlockSec et les clients cibles
Alex : Dans cet épisode, nous allons parler de la sécurité dans le monde du chiffrement. Comment construire un pare-feu pour vos actifs et investir dans un environnement sécurisé est un sujet essentiel à aborder avant de commencer notre voyage dans le chiffrement. Pour ce podcast, nous avons invité Zhou Yajin, de la société de sécurité blockchain, pour discuter avec nous de ce sujet de la sécurité en matière de chiffrement. Professeur Zhou, pourriez-vous nous faire un petit coucou ?
Zhou Yajing : Bonjour à tous, je suis Zhou Yajing, actuellement PDG d'une entreprise de sécurité blockchain, et je suis également chercheur en cybersécurité à l'Université de Zhejiang. Je suis très heureux de vous rencontrer.
Alex : D'accord, entrons dans le vif du sujet d'aujourd'hui. Je crois que beaucoup d'auditeurs ne sont pas très familiers avec les entreprises de sécurité et les services de sécurité liés à la blockchain. Pourriez-vous, professeur Zhou, nous donner un aperçu des services que vous proposez, ainsi que le type de personnes et d'institutions qui pourraient devenir vos clients ?
Zhou Yajin : D'accord, nous sommes une entreprise de sécurité Web3, fondée en 2021. Quand on parle de la sécurité de Web3, la première chose qui vient à l'esprit est probablement l'audit de sécurité. En réalité, notre domaine d'activité ne se limite pas à l'audit de sécurité, nous proposons également une gamme d'autres produits et services de sécurité. Plus précisément, nos services peuvent être divisés en trois grands volets. Le premier volet est ce que nous appelons la sécurité des protocoles sur chaîne. Les protocoles sur chaîne se réfèrent à des contrats intelligents déployés sur la blockchain pour effectuer certaines activités de DeFi, de NFT ou d'autres activités. Comment garantir la sécurité de ces contrats ? Nous fournissons donc des services d'audit de sécurité et des produits de surveillance de sécurité. Le deuxième volet concerne la sécurité des actifs. La sécurité des actifs fait référence aux actifs que les utilisateurs possèdent, par exemple, si ces actifs se trouvent dans leur portefeuille de contrats ou s'ils sont investis dans certains protocoles sur chaîne, comment assurer la sécurité de ces actifs des utilisateurs est également l'un de nos domaines de service. Le troisième volet concerne la conformité et la réglementation. Nous constatons de plus en plus d'institutions financières traditionnelles entrant dans l'industrie Crypto. Par exemple, nous avons récemment vu des nouvelles concernant ces banques traditionnelles américaines émettant des actifs de stablecoin sur chaîne, ainsi que l'entrée de la Crypto dans le secteur des paiements transfrontaliers. En réalité, l'entrée de ces institutions financières traditionnelles dans ce secteur pose un problème de réglementation, car les régulateurs ne savent pas comment superviser, et ces institutions ne savent pas comment se conformer. Donc, nous aidons également les régulateurs à superviser ces acteurs entrant dans l'industrie Crypto, ou à aider ces institutions traditionnelles à se conformer en entrant dans l'industrie Crypto. Voici les trois domaines de notre activité.
Notre clientèle couvre un large éventail. Ce que tout le monde peut envisager, ce sont les projets qui font de la finance décentralisée sur la chaîne ou d'autres services, comme les plateformes qui offrent des prêts sur la chaîne ou des plateformes d'échange décentralisées, ces projets sont nos clients. Nous pouvons les aider à effectuer des audits de sécurité avant le déploiement des contrats intelligents sur la chaîne, afin de passer en revue, d'un point de vue sécuritaire, s'il y a des vulnérabilités de sécurité dans leurs contrats intelligents développés. S'il y a des vulnérabilités de sécurité, elles doivent être corrigées rapidement. De plus, une fois que leurs protocoles sont déployés sur la chaîne, nous avons également une plateforme de surveillance disponible 24/7 pour surveiller les risques de sécurité de leurs protocoles. Si un risque de sécurité se produit, notre plateforme peut notifier rapidement le protocole et peut automatiser le blocage des risques et des attaques. Ainsi, ces développeurs et projets qui déploient des contrats intelligents sur la chaîne constituent un type typique de clients pour nous. Le deuxième type typique de clients est constitué de personnes qui possèdent des actifs, peut-être des clients à valeur nette élevée, qui ont des actifs dans des portefeuilles de contrats, ou ces clients à valeur nette élevée qui investissent dans certains protocoles sur la chaîne. Nos services et produits peuvent les aider à mieux surveiller la sécurité des protocoles dans lesquels ils investissent. Comme le recto et le verso d'une pièce, du point de vue des projets de protocoles, nous pouvons les aider à améliorer la sécurité de leurs protocoles. Du point de vue des clients à valeur nette élevée qui investissent dans leurs protocoles, nous pouvons les aider à surveiller la sécurité des protocoles dans lesquels ils investissent. Une fois qu'il y a un risque de sécurité dans le protocole dans lequel il a investi, comme une attaque, il doit pouvoir retirer ses fonds immédiatement. Le troisième type de clients est celui dont j'ai parlé plus tôt concernant la réglementation et la conformité. Ce type de clients est principalement constitué d'organismes de réglementation, par exemple, la Commission des valeurs mobilières de Hong Kong est également notre cliente, ainsi que certaines agences d'application de la loi à l'étranger, qui ont besoin d'utiliser nos outils et notre plateforme pour faciliter certaines activités d'extraction de preuves, de traçabilité des fonds, etc. C'est à peu près l'ensemble de notre activité et la portée de notre clientèle.
Trois conseils sur la sécurité du chiffrement
Alex : Je comprends, tout à l'heure, M. Zhou a parlé des types de clients, de leurs besoins et d'une situation générale dans l'industrie. La deuxième question pourrait être plus liée aux investisseurs individuels, en particulier parce que beaucoup de nos auditeurs sont des personnes qui viennent tout juste de commencer à entrer dans le Web3 pour apprendre et essayer d'investir. Si vous avez un ami qui vient d'entrer dans le domaine de l'investissement en chiffrement et qui sait que vous offrez des services de sécurité en chiffrement, quels seraient les trois conseils que vous lui donneriez concernant la sécurité en chiffrement ?
Zhou Yajin : C’est une très bonne question. Mes amis me demandent aussi souvent des conseils de sécurité, et ils veulent aussi entrer dans l’industrie, mais j’ai entendu dire que beaucoup de gens semblent rencontrer des risques. Nous avions l’habitude de plaisanter en disant que si vous entriez dans le monde de la crypto et que vous n’étiez pas hameçonné ou arnaqué, vous ne seriez pas un acteur vétéran dans le domaine. Bien sûr, c’est une blague, mais vous pouvez aussi voir qu’il y a beaucoup de risques dans cette industrie. Si je devais faire trois suggestions, la première qui viendrait sûrement à l’esprit de tout le monde concernerait la protection des clés privées. Dans le domaine Crypto, comment prouver que vous possédez les fonds consiste en fait à utiliser la clé privée que vous possédez pour prouver que vous êtes propriétaire du compte. Une clé privée est une chaîne de chiffres, qui n’est pas liée à votre identité personnelle. Une fois que cette série de chiffres est perdue ou divulguée, quelqu’un d’autre peut avoir le même contrôle que vous sur vos propres fonds. C’est très différent de notre monde réel. Dans le monde réel, si votre mot de passe bancaire est compromis, vous pouvez appeler la banque et demander que le compte soit gelé, et personne d’autre n’a un moyen de retirer de l’argent. Mais dans le monde de la cryptographie, si votre clé privée est compromise, la personne en possession de votre clé privée peut transférer vos fonds depuis votre compte sans restrictions. D’une manière générale, il existe plusieurs façons de protéger la clé privée, comme nous avons un portefeuille matériel, un portefeuille contractuel ou une application de téléphone portable pour protéger la clé privée. Chaque méthode a ses propres avantages et inconvénients. D’après ma propre expérience et l’expérience globale de certains de nos amis de la sécurité, le principe de base est la phrase mnémonique de la clé privée, notez-la et mettez-la dans le coffre-fort, que le coffre-fort soit votre propre maison ou la banque, gardez-le, n’y touchez pas, en gros, vous ne pouvez pas l’utiliser. Ensuite, utilisez un appareil en lequel vous pouvez avoir une confiance relative, qu’il s’agisse d’un portefeuille matériel ou d’un téléphone portable, pour stocker vos clés privées. Ce téléphone doit être un appareil dédié, non pour effectuer d’autres activités opérationnelles, juste pour gérer vos propres actifs numériques. C’est la première suggestion. Le deuxième conseil est d’être conscient de la sécurité et des risques lors des transactions sur la chaîne. Essentiellement, vous n’avez qu’à retenir une phrase : il n’y a pas de tarte dans le ciel. Nous avons constaté que lorsqu’ils effectuent des transactions sur la chaîne, les utilisateurs sont exposés à un risque très élevé d’hameçonnage. De nombreux KOL et OG, y compris ceux du monde de la cryptographie que nous connaissons, ont subi des attaques de phishing et ont perdu beaucoup d’argent. Si un site Web inexplicable vous demande de connecter votre portefeuille pour obtenir la récompense dite airdrop, vous devez être plus prudent à ce moment-là et être conscient de la sécurité. Le troisième conseil est que vous devez en savoir un peu plus sur les bases des crypto-actifs. Les connaissances de base font référence au fait que dans les crypto-actifs, nous avons généralement le concept d’autorisation. C’est différent de la finance traditionnelle. Disons que vous possédez un type d’actif numérique, USDT ou USDC, et que par le biais de signatures on-chain, vous pouvez autoriser l’actif à un contrat ou à d’autres utilisateurs à l’utiliser, et cette autorisation peut être obtenue en signant un tas de choses étranges que vous ne pouvez pas comprendre via votre portefeuille. Ainsi, lorsque vous signez la signature du portefeuille, parce que vous ne comprenez pas tout à fait ou que vous êtes trompé, vous signez la transaction autorisée, puis quelqu’un d’autre peut utiliser tous vos actifs numériques. Par conséquent, vous devez avoir une petite compréhension de base de l’autorisation, afin de ne pas signer une telle transaction par erreur lors de la signature du portefeuille. Pour résumer, le conseil de base est le suivant : le premier est de protéger votre propre clé privée et de donner quelques méthodes opérationnelles ; La seconde est que vous devez être prudent à tout moment lorsque vous effectuez des transactions on-chain, et vous devez avoir un sentiment de sécurité et ne pas être hameçonné ; La troisième est d’avoir une compréhension de base du mécanisme d’autorisation de Crypto, afin de ne pas signer par erreur certaines transactions autorisées.
Alex : En fait, j'ai pas mal d'amis à haute valeur nette autour de moi, qui sont aussi des OG ou des vétérans dans l'industrie. En théorie, les sensibilités à la sécurité que vous mentionnez, ils en ont tous un peu, mais chaque année, j'entends parler de certains gros investisseurs qui se font voler. Il y a un dicton dans l'industrie qui dit que si un hacker professionnel s'intéresse à vous, qu'il sait que votre portefeuille est bien rempli, et qu'il utilise toutes les ressources à sa disposition, il est souvent très difficile d'y échapper. Pensez-vous que cela ait du sens ? Est-ce vraiment le cas ?
Zhou Yajin : Votre question est très bonne. En fait, le problème de la sécurité, surtout en ce qui concerne la sécurité du chiffrement, est essentiellement un affrontement déséquilibré. Si votre portefeuille contient suffisamment d'actifs, vous devenez très facilement la cible d'attaques ciblées. Une fois que vous devenez la cible d'attaques, les autres mobilisent de nombreuses ressources, qu'il s'agisse de ressources humaines, techniques ou autres, pour concevoir des méthodes d'attaque ciblées basées sur vos habitudes de comportement quotidien, de vie, etc. Dans ce contexte, il est difficile de dire que vous pouvez vous défendre à 100 %, mais la difficulté de défense est très élevée, car les autres mobilisent de nombreuses ressources contre vous, alors que vous n'avez que vous-même. C'est donc un affrontement très asymétrique. Dans cette situation, je pense que le principe de base est que, comme nous le disons en Chine, il ne faut pas montrer sa richesse, c'est-à-dire que vous ne devez pas rendre publics vos actifs, et éviter de révéler la relation entre votre identité physique et votre identité d'actif en ligne. Deuxièmement, même si vous êtes un utilisateur à haute valeur nette, il est possible que vos informations aient déjà été divulguées, donc vous devez faire en sorte de bien isoler vos actifs. Cela signifie que pour vos opérations quotidiennes, le portefeuille que vous utilisez ne devrait contenir au maximum que 100 000, ce qui fait que si quelqu'un vous cible, il ne peut voler que ces 100 000. Vos autres actifs importants devraient être placés dans un portefeuille que vous n'avez pas besoin d'utiliser régulièrement. Si vous avez besoin de mobiliser ces actifs, vous devez demander à un expert en sécurité de vous aider à examiner un bon processus et des normes opérationnelles, ce qui peut éviter de grands risques.
Les trois incidents de sécurité les plus marquants
Alex : Je comprends, cette suggestion est en effet très importante. Pourriez-vous nous partager trois incidents de sécurité qui vous ont le plus marqué depuis que vous exercez ce métier ? Cela peut être des expériences que vous avez vécues vous-même, ou des histoires de vos amis ou de ce que vous avez entendu.
Zhou Yajing : Je peux partager avec vous quelques incidents de sécurité auxquels nous avons personnellement participé et qui m'ont particulièrement marqué. Le premier exemple que je me souviens, c'était vers le milieu de février 2023, un protocole appelé protocole Duckbill a été attaqué. C'est une plateforme de prêt avec d'autres fonctionnalités. Ce protocole avait une vulnérabilité de sécurité, et les hackers ont utilisé cette vulnérabilité pour voler près de 9 millions USD d'actifs. Ce qui m'a particulièrement marqué dans cette affaire, c'est que les hackers ont commis une erreur en attaquant le protocole Duckbill. Lorsqu'ils ont attaqué le contrat intelligent, ils devaient développer eux-mêmes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
10
Reposter
Partager
Commentaire
0/400
NFTFreezer
· 08-16 13:21
Nouveau cours indispensable pour les pigeons.
Voir l'originalRépondre0
RegenRestorer
· 08-16 06:08
Si vous ne comprenez même pas ces notions de sécurité, il vaut mieux ne pas jouer avec les jetons.
Voir l'originalRépondre0
ForkLibertarian
· 08-15 22:38
Les vieux pigeons viennent encore faire de la vulgarisation.
Voir l'originalRépondre0
SelfRugger
· 08-13 23:47
Ah là là, c'est vraiment vieux Zhou, le grand maître de la sécurité.
Voir l'originalRépondre0
FundingMartyr
· 08-13 23:47
La sécurité de la Blockchain est-elle vraiment si importante ? Que ce soit tôt ou tard, le portefeuille peut être volé.
Voir l'originalRépondre0
ConsensusBot
· 08-13 23:47
Es-tu sûr que c'est l'année 2025 ? C'est vraiment incroyable que tu puisses voyager dans le temps.
Voir l'originalRépondre0
gas_fee_trauma
· 08-13 23:45
Perdre de l'argent est tellement idiot, chaque fois le gas est si élevé.
Voir l'originalRépondre0
SignatureVerifier
· 08-13 23:43
mmh... *encore une* discussion sur la sécurité mais aucune mention de stockage à froid ou de preuves zk ? techniquement insuffisant pour être honnête
Voir l'originalRépondre0
MetaDreamer
· 08-13 23:32
Encore un article de vulgarisation sur la sécurité... tellement ennuyeux.
Les experts en sécurité Blockchain révèlent : protéger la Clé privée, se méfier de la pêche et comprendre les mécanismes d'autorisation sont les trois clés de la sécurité du chiffrement.
À propos du chiffrement de la sécurité de la Depth
Animateur : Alex, chercheur
Invité : Zhou Yajing, PDG d'une entreprise de sécurité blockchain
Date d'enregistrement : 2025.3.28
La portée des services de BlockSec et les clients cibles
Alex : Dans cet épisode, nous allons parler de la sécurité dans le monde du chiffrement. Comment construire un pare-feu pour vos actifs et investir dans un environnement sécurisé est un sujet essentiel à aborder avant de commencer notre voyage dans le chiffrement. Pour ce podcast, nous avons invité Zhou Yajin, de la société de sécurité blockchain, pour discuter avec nous de ce sujet de la sécurité en matière de chiffrement. Professeur Zhou, pourriez-vous nous faire un petit coucou ?
Zhou Yajing : Bonjour à tous, je suis Zhou Yajing, actuellement PDG d'une entreprise de sécurité blockchain, et je suis également chercheur en cybersécurité à l'Université de Zhejiang. Je suis très heureux de vous rencontrer.
Alex : D'accord, entrons dans le vif du sujet d'aujourd'hui. Je crois que beaucoup d'auditeurs ne sont pas très familiers avec les entreprises de sécurité et les services de sécurité liés à la blockchain. Pourriez-vous, professeur Zhou, nous donner un aperçu des services que vous proposez, ainsi que le type de personnes et d'institutions qui pourraient devenir vos clients ?
Zhou Yajin : D'accord, nous sommes une entreprise de sécurité Web3, fondée en 2021. Quand on parle de la sécurité de Web3, la première chose qui vient à l'esprit est probablement l'audit de sécurité. En réalité, notre domaine d'activité ne se limite pas à l'audit de sécurité, nous proposons également une gamme d'autres produits et services de sécurité. Plus précisément, nos services peuvent être divisés en trois grands volets. Le premier volet est ce que nous appelons la sécurité des protocoles sur chaîne. Les protocoles sur chaîne se réfèrent à des contrats intelligents déployés sur la blockchain pour effectuer certaines activités de DeFi, de NFT ou d'autres activités. Comment garantir la sécurité de ces contrats ? Nous fournissons donc des services d'audit de sécurité et des produits de surveillance de sécurité. Le deuxième volet concerne la sécurité des actifs. La sécurité des actifs fait référence aux actifs que les utilisateurs possèdent, par exemple, si ces actifs se trouvent dans leur portefeuille de contrats ou s'ils sont investis dans certains protocoles sur chaîne, comment assurer la sécurité de ces actifs des utilisateurs est également l'un de nos domaines de service. Le troisième volet concerne la conformité et la réglementation. Nous constatons de plus en plus d'institutions financières traditionnelles entrant dans l'industrie Crypto. Par exemple, nous avons récemment vu des nouvelles concernant ces banques traditionnelles américaines émettant des actifs de stablecoin sur chaîne, ainsi que l'entrée de la Crypto dans le secteur des paiements transfrontaliers. En réalité, l'entrée de ces institutions financières traditionnelles dans ce secteur pose un problème de réglementation, car les régulateurs ne savent pas comment superviser, et ces institutions ne savent pas comment se conformer. Donc, nous aidons également les régulateurs à superviser ces acteurs entrant dans l'industrie Crypto, ou à aider ces institutions traditionnelles à se conformer en entrant dans l'industrie Crypto. Voici les trois domaines de notre activité.
Notre clientèle couvre un large éventail. Ce que tout le monde peut envisager, ce sont les projets qui font de la finance décentralisée sur la chaîne ou d'autres services, comme les plateformes qui offrent des prêts sur la chaîne ou des plateformes d'échange décentralisées, ces projets sont nos clients. Nous pouvons les aider à effectuer des audits de sécurité avant le déploiement des contrats intelligents sur la chaîne, afin de passer en revue, d'un point de vue sécuritaire, s'il y a des vulnérabilités de sécurité dans leurs contrats intelligents développés. S'il y a des vulnérabilités de sécurité, elles doivent être corrigées rapidement. De plus, une fois que leurs protocoles sont déployés sur la chaîne, nous avons également une plateforme de surveillance disponible 24/7 pour surveiller les risques de sécurité de leurs protocoles. Si un risque de sécurité se produit, notre plateforme peut notifier rapidement le protocole et peut automatiser le blocage des risques et des attaques. Ainsi, ces développeurs et projets qui déploient des contrats intelligents sur la chaîne constituent un type typique de clients pour nous. Le deuxième type typique de clients est constitué de personnes qui possèdent des actifs, peut-être des clients à valeur nette élevée, qui ont des actifs dans des portefeuilles de contrats, ou ces clients à valeur nette élevée qui investissent dans certains protocoles sur la chaîne. Nos services et produits peuvent les aider à mieux surveiller la sécurité des protocoles dans lesquels ils investissent. Comme le recto et le verso d'une pièce, du point de vue des projets de protocoles, nous pouvons les aider à améliorer la sécurité de leurs protocoles. Du point de vue des clients à valeur nette élevée qui investissent dans leurs protocoles, nous pouvons les aider à surveiller la sécurité des protocoles dans lesquels ils investissent. Une fois qu'il y a un risque de sécurité dans le protocole dans lequel il a investi, comme une attaque, il doit pouvoir retirer ses fonds immédiatement. Le troisième type de clients est celui dont j'ai parlé plus tôt concernant la réglementation et la conformité. Ce type de clients est principalement constitué d'organismes de réglementation, par exemple, la Commission des valeurs mobilières de Hong Kong est également notre cliente, ainsi que certaines agences d'application de la loi à l'étranger, qui ont besoin d'utiliser nos outils et notre plateforme pour faciliter certaines activités d'extraction de preuves, de traçabilité des fonds, etc. C'est à peu près l'ensemble de notre activité et la portée de notre clientèle.
Trois conseils sur la sécurité du chiffrement
Alex : Je comprends, tout à l'heure, M. Zhou a parlé des types de clients, de leurs besoins et d'une situation générale dans l'industrie. La deuxième question pourrait être plus liée aux investisseurs individuels, en particulier parce que beaucoup de nos auditeurs sont des personnes qui viennent tout juste de commencer à entrer dans le Web3 pour apprendre et essayer d'investir. Si vous avez un ami qui vient d'entrer dans le domaine de l'investissement en chiffrement et qui sait que vous offrez des services de sécurité en chiffrement, quels seraient les trois conseils que vous lui donneriez concernant la sécurité en chiffrement ?
Zhou Yajin : C’est une très bonne question. Mes amis me demandent aussi souvent des conseils de sécurité, et ils veulent aussi entrer dans l’industrie, mais j’ai entendu dire que beaucoup de gens semblent rencontrer des risques. Nous avions l’habitude de plaisanter en disant que si vous entriez dans le monde de la crypto et que vous n’étiez pas hameçonné ou arnaqué, vous ne seriez pas un acteur vétéran dans le domaine. Bien sûr, c’est une blague, mais vous pouvez aussi voir qu’il y a beaucoup de risques dans cette industrie. Si je devais faire trois suggestions, la première qui viendrait sûrement à l’esprit de tout le monde concernerait la protection des clés privées. Dans le domaine Crypto, comment prouver que vous possédez les fonds consiste en fait à utiliser la clé privée que vous possédez pour prouver que vous êtes propriétaire du compte. Une clé privée est une chaîne de chiffres, qui n’est pas liée à votre identité personnelle. Une fois que cette série de chiffres est perdue ou divulguée, quelqu’un d’autre peut avoir le même contrôle que vous sur vos propres fonds. C’est très différent de notre monde réel. Dans le monde réel, si votre mot de passe bancaire est compromis, vous pouvez appeler la banque et demander que le compte soit gelé, et personne d’autre n’a un moyen de retirer de l’argent. Mais dans le monde de la cryptographie, si votre clé privée est compromise, la personne en possession de votre clé privée peut transférer vos fonds depuis votre compte sans restrictions. D’une manière générale, il existe plusieurs façons de protéger la clé privée, comme nous avons un portefeuille matériel, un portefeuille contractuel ou une application de téléphone portable pour protéger la clé privée. Chaque méthode a ses propres avantages et inconvénients. D’après ma propre expérience et l’expérience globale de certains de nos amis de la sécurité, le principe de base est la phrase mnémonique de la clé privée, notez-la et mettez-la dans le coffre-fort, que le coffre-fort soit votre propre maison ou la banque, gardez-le, n’y touchez pas, en gros, vous ne pouvez pas l’utiliser. Ensuite, utilisez un appareil en lequel vous pouvez avoir une confiance relative, qu’il s’agisse d’un portefeuille matériel ou d’un téléphone portable, pour stocker vos clés privées. Ce téléphone doit être un appareil dédié, non pour effectuer d’autres activités opérationnelles, juste pour gérer vos propres actifs numériques. C’est la première suggestion. Le deuxième conseil est d’être conscient de la sécurité et des risques lors des transactions sur la chaîne. Essentiellement, vous n’avez qu’à retenir une phrase : il n’y a pas de tarte dans le ciel. Nous avons constaté que lorsqu’ils effectuent des transactions sur la chaîne, les utilisateurs sont exposés à un risque très élevé d’hameçonnage. De nombreux KOL et OG, y compris ceux du monde de la cryptographie que nous connaissons, ont subi des attaques de phishing et ont perdu beaucoup d’argent. Si un site Web inexplicable vous demande de connecter votre portefeuille pour obtenir la récompense dite airdrop, vous devez être plus prudent à ce moment-là et être conscient de la sécurité. Le troisième conseil est que vous devez en savoir un peu plus sur les bases des crypto-actifs. Les connaissances de base font référence au fait que dans les crypto-actifs, nous avons généralement le concept d’autorisation. C’est différent de la finance traditionnelle. Disons que vous possédez un type d’actif numérique, USDT ou USDC, et que par le biais de signatures on-chain, vous pouvez autoriser l’actif à un contrat ou à d’autres utilisateurs à l’utiliser, et cette autorisation peut être obtenue en signant un tas de choses étranges que vous ne pouvez pas comprendre via votre portefeuille. Ainsi, lorsque vous signez la signature du portefeuille, parce que vous ne comprenez pas tout à fait ou que vous êtes trompé, vous signez la transaction autorisée, puis quelqu’un d’autre peut utiliser tous vos actifs numériques. Par conséquent, vous devez avoir une petite compréhension de base de l’autorisation, afin de ne pas signer une telle transaction par erreur lors de la signature du portefeuille. Pour résumer, le conseil de base est le suivant : le premier est de protéger votre propre clé privée et de donner quelques méthodes opérationnelles ; La seconde est que vous devez être prudent à tout moment lorsque vous effectuez des transactions on-chain, et vous devez avoir un sentiment de sécurité et ne pas être hameçonné ; La troisième est d’avoir une compréhension de base du mécanisme d’autorisation de Crypto, afin de ne pas signer par erreur certaines transactions autorisées.
Alex : En fait, j'ai pas mal d'amis à haute valeur nette autour de moi, qui sont aussi des OG ou des vétérans dans l'industrie. En théorie, les sensibilités à la sécurité que vous mentionnez, ils en ont tous un peu, mais chaque année, j'entends parler de certains gros investisseurs qui se font voler. Il y a un dicton dans l'industrie qui dit que si un hacker professionnel s'intéresse à vous, qu'il sait que votre portefeuille est bien rempli, et qu'il utilise toutes les ressources à sa disposition, il est souvent très difficile d'y échapper. Pensez-vous que cela ait du sens ? Est-ce vraiment le cas ?
Zhou Yajin : Votre question est très bonne. En fait, le problème de la sécurité, surtout en ce qui concerne la sécurité du chiffrement, est essentiellement un affrontement déséquilibré. Si votre portefeuille contient suffisamment d'actifs, vous devenez très facilement la cible d'attaques ciblées. Une fois que vous devenez la cible d'attaques, les autres mobilisent de nombreuses ressources, qu'il s'agisse de ressources humaines, techniques ou autres, pour concevoir des méthodes d'attaque ciblées basées sur vos habitudes de comportement quotidien, de vie, etc. Dans ce contexte, il est difficile de dire que vous pouvez vous défendre à 100 %, mais la difficulté de défense est très élevée, car les autres mobilisent de nombreuses ressources contre vous, alors que vous n'avez que vous-même. C'est donc un affrontement très asymétrique. Dans cette situation, je pense que le principe de base est que, comme nous le disons en Chine, il ne faut pas montrer sa richesse, c'est-à-dire que vous ne devez pas rendre publics vos actifs, et éviter de révéler la relation entre votre identité physique et votre identité d'actif en ligne. Deuxièmement, même si vous êtes un utilisateur à haute valeur nette, il est possible que vos informations aient déjà été divulguées, donc vous devez faire en sorte de bien isoler vos actifs. Cela signifie que pour vos opérations quotidiennes, le portefeuille que vous utilisez ne devrait contenir au maximum que 100 000, ce qui fait que si quelqu'un vous cible, il ne peut voler que ces 100 000. Vos autres actifs importants devraient être placés dans un portefeuille que vous n'avez pas besoin d'utiliser régulièrement. Si vous avez besoin de mobiliser ces actifs, vous devez demander à un expert en sécurité de vous aider à examiner un bon processus et des normes opérationnelles, ce qui peut éviter de grands risques.
Les trois incidents de sécurité les plus marquants
Alex : Je comprends, cette suggestion est en effet très importante. Pourriez-vous nous partager trois incidents de sécurité qui vous ont le plus marqué depuis que vous exercez ce métier ? Cela peut être des expériences que vous avez vécues vous-même, ou des histoires de vos amis ou de ce que vous avez entendu.
Zhou Yajing : Je peux partager avec vous quelques incidents de sécurité auxquels nous avons personnellement participé et qui m'ont particulièrement marqué. Le premier exemple que je me souviens, c'était vers le milieu de février 2023, un protocole appelé protocole Duckbill a été attaqué. C'est une plateforme de prêt avec d'autres fonctionnalités. Ce protocole avait une vulnérabilité de sécurité, et les hackers ont utilisé cette vulnérabilité pour voler près de 9 millions USD d'actifs. Ce qui m'a particulièrement marqué dans cette affaire, c'est que les hackers ont commis une erreur en attaquant le protocole Duckbill. Lorsqu'ils ont attaqué le contrat intelligent, ils devaient développer eux-mêmes.