Comment afficher vos clés privées dans Phantom ? (Exportation de portefeuille)

Comprendre la sécurité des clés privées dans Phantom

1. Phantom n'expose pas les clés privées directement dans son interface utilisateur pour des raisons de sécurité. Le portefeuille est conçu pour empêcher l’exposition accidentelle ou l’utilisation abusive de matériel cryptographique sensible.

2. Les clés privées sont stockées cryptées dans le stockage local du navigateur ou dans le trousseau de l'appareil, selon la plateforme : extension de bureau ou application mobile.

3. Phantom utilise un chemin de dérivation de clé déterministe (m/44'/60'/0'/0) pour les chaînes compatibles Ethereum, ce qui signifie que toutes les adresses proviennent d'une seule phrase de départ de 12 mots.

4. L'accès aux clés privées brutes nécessite d'abord d'exporter la phrase de départ, puis d'utiliser des outils ou des bibliothèques externes pour dériver des paires de clés individuelles.

5. Toute tentative d'extraction de clés privées via la console du développeur ou des scripts tiers viole le modèle de sécurité de Phantom et peut compromettre l'intégrité du portefeuille.

Exporter votre phrase de départ

1. Ouvrez Phantom et cliquez sur l'icône du compte dans le coin supérieur droit.

2. Sélectionnez « Paramètres » et accédez à la section « Sécurité ».

3. Cliquez sur « Révéler la phrase de récupération secrète » et confirmez votre mot de passe ou votre authentification biométrique.

4. Enregistrez soigneusement les douze mots dans un ordre exact, sans tenir compte de la casse mais de la séquence.

5. Ne prenez jamais de captures d'écran, ne copiez-collez jamais dans des applications non fiables et ne stockez jamais la phrase sur des services cloud.

Dériver des clés privées hors ligne

1. Utilisez une machine isolée ou un environnement hors ligne pour exécuter des outils de dérivation fiables tels que les bibliothèques ethers.js ou bip39 .

2. Saisissez votre phrase de 12 mots dans un script exécuté localement qui calcule la clé privée principale à l'aide des normes BIP-39 et BIP-44.

3. Dérivez la clé privée spécifique d'une adresse en appliquant le chemin HD correct, par exemple, m/44'/60'/0'/0/0 pour la première adresse Ethereum.

4. Vérifiez que la clé dérivée correspond à votre adresse Phantom à l'aide de la récupération de clé publique avant toute utilisation ultérieure.

5. Détruisez tous les fichiers temporaires, l'historique du navigateur et les journaux du terminal contenant des sorties intermédiaires.

Risques d’exposition à la clé privée

1. Une seule clé privée divulguée accorde un contrôle total sur les fonds associés et les autorisations de contrats intelligents en chaîne.

2. Les systèmes infectés par des logiciels malveillants peuvent intercepter le contenu du presse-papiers lors d'opérations de copier-coller impliquant des clés ou des phrases.

3. Les extensions de navigateur disposant d'autorisations excessives pourraient lire les éléments DOM où les phrases de récupération sont temporairement rendues.

4. Les sites de phishing imitant l'interface utilisateur de Phantom ont réussi à récolter des phrases de départ via de fausses invites « sauvegarde requise ».

5. Les portefeuilles matériels intégrés à Phantom n'exposent aucune clé privée : leur signature s'effectue en interne et ne quitte jamais l'appareil.

Foire aux questions

Q : Puis-je afficher ma clé privée sans exporter la phrase de départ ? R : Non. Phantom omet intentionnellement cette fonctionnalité. La phrase de départ est le seul identifiant racine autorisé pour la récupération de clé.

Q : Phantom prend-il en charge l'importation de clés privées ? R : Phantom ne permet pas l'importation directe de clés privées. Les utilisateurs doivent restaurer les portefeuilles exclusivement via la phrase de départ de 12 mots.

Q : Que se passe-t-il si je perds à la fois ma phrase de départ et l'accès à l'extension Phantom ? R : Tous les actifs deviennent irrécupérables. Phantom n'a pas de porte dérobée, d'accès de garde ou de mécanisme de récupération centralisé.

Q : Est-il sûr d'utiliser des sites Web tiers prétendant dériver des clés à partir de phrases de départ ? R : Absolument pas. Ces sites enregistrent souvent des entrées ou injectent des charges utiles malveillantes. Effectuez toujours la dérivation hors ligne avec du code open source audité.