Les portefeuilles multisignature (multisig) sont un outil puissant pour renforcer la sécurité des cryptos. En exigeant plusieurs approbations pour chaque transaction, ils protègent les fonds des DAO, des équipes et des familles. Toutefois, cette même fonctionnalité est exploitée par des escrocs de manière ingénieuse.
Comprendre le fonctionnement de ces arnaques est la première étape pour protéger vos actifs.
Un portefeuille crypto standard est contrôlé par une seule clé privée. Un portefeuille multisig, en revanche, nécessite des signatures de plusieurs clés pour autoriser une transaction.
Par exemple, un portefeuille peut être configuré en tant que "2-of-3" multisig. Cela signifie qu'il y a trois signataires autorisés, mais que deux d'entre eux doivent approuver une transaction avant que les fonds puissent être déplacés. Ce mécanisme élimine le point de défaillance unique ; si une clé est compromise, les fonds restent protégés. C'est pourquoi les multisig sont la référence pour gérer des fonds collectifs et les trésoreries d'entreprise.
Les escrocs utilisent plusieurs approches pour tromper les utilisateurs autour des portefeuilles multisig. Certains recourent à l'usurpation d'identité ou au phishing pour convaincre des victimes d'ajouter des attaquants comme cosignataires. D'autres utilisent des appâts plus simples qui poussent des utilisateurs bien intentionnés à envoyer des fonds pour couvrir des frais de transaction. Ces arnaques peuvent être particulièrement répandues sur des blockchains dont la structure de comptes et les modèles d'autorisation facilitent certains types d'attaques.
Une méthode courante commence lorsqu'un attaquant publie une seed phrase ou une clé privée, laissant entendre que le portefeuille est libre d'accès. Lorsqu'une personne importe ce compte, elle peut voir un solde de tokens mais découvrir que le portefeuille ne dispose pas du token natif nécessaire pour le gas. L'escroc encourage alors les observateurs à envoyer des tokens natifs pour couvrir les frais. Les victimes qui envoient des fonds pour payer le gas perdent rapidement ce qu'elles transfèrent, car le portefeuille est en réalité contrôlé par une configuration multisig ou soumis à d'autres restrictions empêchant les retraits.
Dans des attaques plus élaborées, les escrocs persuadent des utilisateurs de participer à une configuration multisig qui semble légitime mais qui donne à l'attaquant des privilèges de contrôle en coulisses. Une fois ajouté comme cosignataire, l'attaquant peut bloquer des transactions, verrouiller des fonds ou orchestrer un transfert laissant les victimes incapables de récupérer leurs actifs.
Prévenir les arnaques multisig implique un mélange de prudence comportementale et d'hygiène technique. Les mesures suivantes réduisent le risque d'être victime.
Aucun service légitime ne vous demandera de partager votre seed phrase ou votre clé privée complète. Conservez ces éléments hors ligne dans un endroit sécurisé et ne les divulguez jamais.
N'installez des portefeuilles ou des extensions que depuis des sources fiables et vérifiées. Vérifiez attentivement les listings des app stores, les noms des éditeurs et les URL pour éviter les applications contrefaites ou les sites de phishing.
Contrôlez qui possède des droits de signature sur tout portefeuille multisig que vous utilisez. Supprimez les signataires inconnus et révoquez les permissions accordées aux applications décentralisées que vous n'utilisez plus.
Les dispositifs matériels maintiennent les clés privées hors ligne et exigent une confirmation physique pour signer les transactions. Ils apportent une couche de protection robuste même si d'autres éléments de votre configuration sont compromis.
L'authentification à deux facteurs (2FA) sur les comptes et services associés ajoute une barrière supplémentaire contre les accès non autorisés.
Les tactiques de fraude évoluent rapidement. Suivez des mises à jour de sécurité fiables et informez-vous sur les nouveaux schémas d'attaque pour reconnaître les demandes ou comportements suspects.
Certaines applications de portefeuille affichent désormais des alertes lorsque des fonds semblent bloqués ou lorsqu'une adresse est soumise à des règles de permission inhabituelles. Prenez ces avertissements au sérieux et enquêtez avant d'envoyer des tokens.
Les portefeuilles multisig offrent un important gain de sécurité lorsqu'ils sont utilisés correctement. Cependant, ils ne sont pas à l'abri de l'ingénierie sociale et des arnaques ingénieuses.
Vérifiez toujours l'identité de vos interlocuteurs, conservez un contrôle strict de vos clés et méfiez-vous fortement de toute offre impliquant un portefeuille partagé publiquement. En restant informé et prudent, vous pouvez tirer parti de la technologie multisig sans devenir la victime des pièges courants.