Le hack des wallets sur Solana montre pourquoi nous avons besoin des cold wallets
Gérer son propre argent est un privilège qui s’accompagne de nombreuses responsabilités, et les crypto wallets en sont un bon exemple.
Nos cryptoactifs ne sont aussi sûrs que les clés privées associées à leur adresse, ce qui conduit à un ensemble de règles de sécurité crypto : sauvegardez votre seed (clés privées sous forme de mots), ne le dites à personne, ne vous connectez pas à des smart contracts inconnus, ne vous faites pas hameçonner… Le conseil ultime est d’acheter un portefeuille matériel (également appelé cold wallet ❄️ ) qui conservera vos clés privées en toute sécurité hors ligne.
Le piratage massif (et en cours) des portefeuilles Solana de cette semaine est un rappel de ce dernier conseil.
?? Depuis mardi, plus de 5 millions de dollars de crypto ont été drainés de plus de 9’000 adresses qui ont à un moment donné interagi avec Slope wallet (même si une partie de ces adresses a depuis migré vers d’autres wallets comme Phantom ou Trust). Ce piratage n’est pas imputable aux utilisateurs, et bien que l’équipe de Slope n’ait pas encore fourni d’explication, une société indépendante d’audit de blockchain, OtterSec, a confirmé que la société avait enregistré les seeds non cryptées sur un serveur centralisé. Comme c’est souvent le cas avec les stockages centralisés, ils ont été hackés, mettant en danger les fonds de tous ses clients ?.
Si les allégations sont vraies, il s’agirait d’un cas extrême de faute professionnelle, voire de tromperie, de la part des développeurs de wallets (une entreprise présentant ses wallets comme non-custodial et conservant les seeds en texte clair est une situation très curieuse). Cependant, il se peut que nous ne sachions jamais vraiment ce qui s’est passé : contrairement à de nombreux wallets dans le web3, le code de Slope n’est pas open source, ce qui signifie que des parties externes ne peuvent pas l’examiner. Cela signifie également que les utilisateurs doivent lui faire confiance, et la confiance est la notion même que la blockchain est censée éliminer.
Il est encore trop tôt pour obtenir une explication claire du hack, mais ce qui est sûr, c’est que les fonds dont les clés étaient stockées sur des portefeuilles froids (hors ligne) étaient en sécurité. Il s’agissait d’une situation typique « Pourquoi nous avons besoin de portefeuilles froids », et des milliers d’utilisateurs de Solana ont dû l’apprendre à leurs dépens.
