Comment transférer rapidement des actifs hors d'un portefeuille compromis

Protocole de réponse immédiate

1. Déconnectez l'appareil infecté de tous les réseaux (Wi-Fi, Bluetooth et points d'accès cellulaires) pour empêcher l'exfiltration en temps réel des jetons de session ou des fragments de phrases de départ.

2. Évitez d'interagir avec une interface de portefeuille sur la machine compromise : même le mode lecture seule peut déclencher un code JavaScript malveillant qui enregistre les frappes au clavier ou les captures d'écran.

3. Abstenez-vous d'exporter des clés privées ou des phrases mnémoniques via des extensions de navigateur, des gestionnaires de presse-papiers ou des notes synchronisées dans le cloud ; ces canaux sont régulièrement surveillés par des logiciels malveillants.

4. N'essayez pas de mettre à jour le micrologiciel ou de réinitialiser la récupération sur les portefeuilles matériels connectés au système infecté : le chargeur de démarrage est peut-être déjà falsifié.

5. Utilisez une machine à air isolé (idéalement une machine jamais connectée à Internet) pour générer un nouveau portefeuille et vérifier son intégrité via la validation de la somme de contrôle BIP39 hors ligne.

Signalisation de transaction sans exposition

1. Construisez des transactions brutes non signées sur l'appareil compromis à l'aide d'explorateurs de blockchain publics et de données UTXO, en vous assurant qu'aucun élément de clé privée n'est saisi ou référencé.

2. Transférez la chaîne hexadécimale de transaction non signée via un code QR scanné à partir d'un appareil propre, et non via un e-mail, des applications de messagerie ou des clés USB.

3. Signez la transaction exclusivement dans un environnement froid vérifié à l'aide d'outils de signature ECDSA déterministes comme Electrum en mode hors ligne ou le flux de signature à air isolé de Sparrow Wallet.

4. Diffusez la transaction signée via un nœud public de confiance ou un point de terminaison RPC, et non via le nœud par défaut fourni avec le logiciel de portefeuille installé sur l'hôte infecté.

5. Surveillez l'état de confirmation à l'aide d'explorateurs de blocs indépendants uniquement, en évitant les liens de suivi intégrés ou les tableaux de bord intégrés au portefeuille.

Validation des adresses et nettoyage des sorties

1. Vérifiez la somme de contrôle de l'adresse de destination à l'aide de la logique de décodage Bech32 exécutée manuellement sur papier ou sur des tables de recherche imprimées, et non via des validateurs en ligne ou des interfaces copier-coller.

2. Vérifiez l'adresse de réception par rapport aux modèles de phishing connus : longueur de caractère incompatible, préfixe invalide (par exemple, bc1q au lieu de bc1p pour Taproot) ou substitutions d'homographes (О au lieu de O).

3. Assurez-vous que les scripts de sortie ne contiennent pas de charges utiles OP_RETURN ou d'opcodes inhabituels qui pourraient rediriger les fonds après confirmation via des vulnérabilités d'injection de script.

4. Confirmez que l'adresse de modification est dérivée d'un nouveau chemin de clé inutilisé (non réutilisé à partir de transactions précédentes) en inspectant les chemins de dérivation dans l'outil de signature à air isolé.

5. Rejetez toute proposition de transaction dont le taux de frais dépasse 50 sat/vB sans justification manuelle, car des frais élevés indiquent souvent des tactiques de verrouillage et de drainage de type ransomware.

Ségrégation des actifs après le mouvement

1. Répartissez les actifs récupérés entre plusieurs portefeuilles sécurisés indépendamment, chacun contenant des classes d'actifs distinctes et régi par des arbres de dérivation BIP32 distincts.

2. Attribuez des timelocks verrouillés dans le temps (CSV/CLTV) à au moins 60 % des soldes déplacés, exigeant des confirmations de hauteur de bloc minimale avant que la capacité de dépense ne reprenne.

3. Faites pivoter toutes les clés de cosignataire multisig, y compris celles stockées avec des signataires tiers, et révoquez les anciens xpubs exposés lors de la synchronisation précédente.

4. Désactivez toutes les extensions de navigateur, notifications mobiles et intégrations d'API liées au portefeuille précédemment autorisées, même si elles semblaient inoffensives lors de la configuration initiale.

5. Vérifiez les journaux de résolution DNS sur les routeurs locaux pour détecter les indicateurs de piratage de noms de domaine ciblant les points de terminaison du service de portefeuille comme ledger.com ou trezor.io.

Reconfiguration de la gestion des clés de récupération

1. Régénérez toutes les phrases mnémoniques à l'aide de la génération d'entropie basée sur des dés dans un environnement d'isolement physique : aucun outil RNG numérique, même open source, ne doit être fiable après un compromis.

2. Stockez chaque nouvelle phrase de départ dans trois emplacements géographiquement séparés à l'aide de sauvegardes en acier inoxydable crypto-acier, et non sur papier, cartes plastifiées ou stockage dans le cloud.

3. Appliquez une séparation stricte entre les clés de signature et les clés de chiffrement : ne dérivez jamais les deux de la même graine BIP39 et évitez la réutilisation déterministe hiérarchique entre les domaines.

4. Remplacez tous les micrologiciels du portefeuille matériel par des binaires signés en usine obtenus directement à partir des référentiels GitHub du fabricant, et non téléchargés via les moteurs de recherche ou les portails des fournisseurs accessibles depuis le réseau compromis.

5. Introduire des systèmes de signature à seuil (par exemple, FROST ou MuSig2) pour les avoirs de grande valeur, en garantissant qu'aucun appareil ne détient la pleine autorité de signature.

Foire aux questions

Q1 : Puis-je récupérer des fonds si mon micrologiciel Ledger Nano S a été mis à jour via un programme d'installation malveillant ? Oui : si l'appareil n'a jamais été utilisé pour signer des transactions après la mise à jour, la graine d'origine reste intacte. La récupération nécessite sa restauration sur un appareil vérifié et propre en utilisant le même chemin de dérivation BIP39.

Q2 : Est-il sûr d'utiliser MetaMask sur un téléphone qui hébergeait auparavant une extension Chrome compromise ? Non. Le sandboxing des applications Android n’isole pas les espaces mémoire des extensions de navigateur des vues Web mobiles. Désinstallez et réinstallez MetaMask après la réinitialisation complète des paramètres d'usine de l'appareil.

Q3 : L'envoi de BTC à une nouvelle adresse invalide-t-il automatiquement les UTXO antérieurs liés à l'ancien portefeuille ? Non. Tous les produits non dépensés restent valides et utilisables jusqu'à ce qu'ils soient explicitement consommés. Les UTXO compromis conservent leur plein pouvoir d’achat à moins que leurs clés privées n’aient été extraites et utilisées ailleurs.

Q4 : Puis-je faire confiance à un Trezor Model T qui a réussi la vérification de la somme de contrôle du micrologiciel mais qui a été branché sur un PC piraté ? Non. Les contrôles d’intégrité du micrologiciel ne détectent pas les manipulations de la mémoire d’exécution. L'appareil doit être traité comme potentiellement compromis s'il est connecté à un hôte non fiable, même brièvement.