Que faire si vous pensez que votre portefeuille crypto a été compromis ?

Actions immédiates à entreprendre

1. Déconnectez immédiatement l'appareil de tous les réseaux pour empêcher toute nouvelle exfiltration de données ou l'exécution de commandes à distance.

2. Suspendez toutes les sessions actives sur les échanges et les plateformes DeFi liées aux adresses associées au portefeuille.

3. Désactivez tous les portefeuilles matériels connectés en les débranchant physiquement et en évitant toute reconnexion jusqu'à ce qu'un examen médico-légal complet soit terminé.

4. Exportez et archivez en toute sécurité tout l'historique des transactions, les journaux et l'activité des extensions de navigateur pour une analyse ultérieure.

5. Modifiez les mots de passe de chaque compte lié au portefeuille compromis (e-mail, portails d'échange, services de stockage de phrases de départ), même s'ils semblent sans rapport.

Évaluation de la récupération du portefeuille

1. Vérifiez si le portefeuille utilise un chemin de dérivation de clé déterministe ; cela détermine si une seule adresse ou une chaîne entière d'adresses peut être exposée.

2. Vérifiez l'activité en chaîne à l'aide d'explorateurs de blockchain pour identifier les transferts non autorisés, les approbations de contrats ou les allocations de jetons accordées sans consentement.

3. Inspectez les interactions de contrats intelligents pour détecter les appels de fonction suspects tels que setApprovalForAll , approuve ou transferFrom exécutés à partir de sources inconnues.

4. Déterminez si la compromission provient d'un site de phishing, d'une extension de navigateur malveillante ou d'un fichier de sauvegarde de phrase de départ infecté : chacun nécessite des étapes de correction distinctes.

5. Confirmez si le portefeuille a été importé dans une autre interface via une clé privée ou un mnémonique ; ce niveau d’exposition dicte l’irréversibilité des dommages.

Techniques d'atténuation en chaîne

1. Révoquez les approbations ERC-20 et ERC-721 non autorisées à l'aide d'outils tels que le vérificateur d'approbations de jetons d'Etherscan ou des dApps de révocation dédiés.

2. Déployez un nouveau portefeuille avec une nouvelle entropie et migrez les actifs restants uniquement après un nettoyage complet et une surveillance du réseau confirmant la stabilité.

3. Utilisez des coffres-forts multi-signatures ou des contrats verrouillés dans le temps pour imposer des délais avant l'exécution des transactions critiques, réduisant ainsi le risque de vol flash.

4. Surveillez l'activité du pool de mémoire pour les transactions en attente provenant de votre adresse compromise et envisagez une annulation anticipée lorsque cela est possible.

5. Soumettez des rapports aux sociétés d'analyse de blockchain compétentes si les modèles de mouvements à grande échelle suggèrent un blanchiment coordonné ou une utilisation de mélangeur.

Collecte de preuves médico-légales

1. Capturez des captures d'écran des onglets du navigateur, des listes d'extensions et des sorties de la console du développeur au moment de la suspicion : les horodatages sont importants pour la reconstruction de la chronologie.

2. Récupérez les entrées de l'historique du navigateur menant à l'interaction du portefeuille, en particulier celles impliquant des URL raccourcies ou des domaines imitant les interfaces officielles.

3. Extrayez le contenu du presse-papiers des journaux système si la journalisation au niveau du système d'exploitation a été activée, en recherchant les clés privées ou les phrases de départ copiées.

4. Analysez les journaux de connexion des périphériques USB pour détecter les tentatives d'accès non autorisées au portefeuille matériel ou les événements de flashage de micrologiciel malveillants.

5. Préservez les vidages de mémoire des machines concernées dans la mesure du possible, en vous concentrant sur les processus liés au logiciel de portefeuille, aux points de terminaison RPC ou aux scripts injectés.

Foire aux questions

Q : Puis-je récupérer les fonds envoyés vers un contrat frauduleux après que mon portefeuille a été compromis ? La récupération est techniquement impossible à moins que le contrat n'inclue une fonction intégrée de retrait du propriétaire et que l'attaquant ne restitue volontairement la valeur, ce qui est un phénomène rare.

Q : La réinitialisation de mon navigateur ou la réinstallation d'une extension de portefeuille élimine-t-elle la menace ? Non. Les logiciels malveillants persistants peuvent résider dans des scripts mis en cache, dans le stockage local ou dans des services d'arrière-plan non affectés par les réinitialisations standard.

Q : Est-il sécuritaire de réutiliser une adresse de portefeuille après avoir révoqué les approbations et transféré des fonds ? Pas conseillé. L’historique en chaîne est lié en permanence à une exposition antérieure, ce qui en fait une cible pour de futures attaques d’ingénierie sociale ou de dépoussiérage.

Q : Le micrologiciel du portefeuille matériel peut-il être modifié à distance sans accès physique ? Les modèles actuels de micrologiciels Ledger et Trezor ne permettent pas les mises à jour en direct. Toute modification du micrologiciel à distance signalée indique soit une falsification physique, soit un matériel contrefait.