Le pare-feu sur chaîne de Harpie permet aux utilisateurs de crypto-monnaies de connecter leurs portefeuilles Web3 et de créer un environnement de transaction sûr et de se protéger contre les vecteurs d’attaque les plus courants de la crypto-monnaie.
Principaux points à retenir
- Harpie est le premier produit pare-feu on-chain qui protège les utilisateurs contre les vecteurs d’attaque courants en crypto-monnaie.
- Il fonctionne en surveillant les portefeuilles des utilisateurs et en intervenant en cas d’attaque en devançant les transactions malveillantes et en déplaçant leurs fonds vers un coffre-fort sécurisé sans garde.
- Bien qu’il ne soit pas parfait, c’est l’une des offres les plus prometteuses pour la protection des utilisateurs de Web3 qui existe aujourd’hui.
Le problème de sécurité de la crypto
La popularité des crypto-monnaies et de la finance décentralisée a augmenté au cours des deux dernières années, tout comme les attaques liées aux crypto-monnaies, notamment les vols ciblés d’utilisateurs et les exploits de protocoles.
Selon le rapport semestriel de Chainalysis sur la criminalité liée aux crypto-monnaies, plus de 1,9 milliard de dollars ont été volés lors de piratages d’utilisateurs et de services de janvier à juillet 2022, contre un peu moins de 1,2 milliard de dollars au cours des sept premiers mois de 2021. Et bien que la plupart des exploits aient été liés au protocole, de nombreux utilisateurs ont vu leur porte-monnaie vidé grâce, entre autres, aux risques associés à l’utilisation de Web3 aujourd’hui.
Pour les utilisateurs qui interagissent régulièrement avec les protocoles DeFi et les places de marché NFT, effectuer des transactions dans Web3 peut presque ressembler à jouer au Démineur dans la vraie vie.
Chaque approbation de transaction et interaction sur la chaîne avec une application tierce peut potentiellement conduire à la compromission du portefeuille et à la perte de fonds. Malheureusement, il n’y a pas eu jusqu’à présent de solution simple ou efficace à ce problème. Les portefeuilles Web3 les plus populaires, comme MetaMask ou Trust Wallet, font un travail épouvantable pour transmettre la nature de chaque interaction sur la chaîne à leurs utilisateurs.
Au lieu de rendre chaque transaction claire, les descriptions par défaut de la plupart des confirmations de transaction dans le portefeuille se lisent comme du charabia pour les utilisateurs non avertis, les laissant effectivement aveugles aux menaces de sécurité les plus élémentaires.
Au-delà des habituels piratages de protocoles, le type d’attaques le plus dangereux pour les utilisateurs de crypto-monnaies est sans doute celui des exploits dits d'”approbation des dépenses” qui incitent les utilisateurs à approuver des transitions malveillantes permettant aux pirates de vider les portefeuilles des utilisateurs.
Une autre façon courante pour les utilisateurs de Web3 de perdre leur argent est de voir leurs clés privées compromises, ce qui implique généralement que les utilisateurs installent des logiciels malveillants comme des enregistreurs de frappe, qu’ils stockent leurs phrases de départ en clair sur des appareils non sécurisés ou qu’ils tombent dans des escroqueries par phishing.
Il a toujours été possible de se protéger contre tous ces vecteurs d’attaque, mais cela exige des connaissances techniques importantes, de la sophistication et des sacrifices en matière d’expérience utilisateur. Harpie espère résoudre ce problème.
Qu’est-ce que Harpie ?
Harpie est la première solution de pare-feu sur la chaîne qui permet aux utilisateurs d’Ethereum de créer un environnement de transaction sûr en mettant sur une liste blanche un ensemble d’adresses et d’applications Web3 qu’ils jugent sûres. Le service surveille les portefeuilles connectés pour détecter les transactions suspectes ou non autorisées en attente afin de les arrêter lorsqu’elles font surface.
Lorsqu’il détecte une transaction suspecte, il déplace immédiatement les fonds de l’utilisateur hors de son portefeuille et dans un coffre-fort sans garde, protégeant ainsi les fonds d’un vol potentiel.
Pour ce faire, Harpie devance les transactions malveillantes en payant des frais de gaz plus élevés. Par exemple, supposons qu’un pirate se soit emparé d’une manière ou d’une autre des clés privées d’un utilisateur ou l’ait berné en approuvant une transaction de dépense malveillante et qu’il ait essayé de transférer des fonds du portefeuille de la victime vers son adresse.
Dans ce cas, Harpie détecterait la transaction sortante du portefeuille de la victime vers une adresse non approuvée, et diffuserait automatiquement une autre transaction avec des frais de gaz plus élevés pour déplacer les fonds de la cible dans un coffre-fort avant que la transaction sortante ne soit confirmée.
Les validateurs Ethereum donnent la priorité aux transactions ayant les frais de gaz les plus élevés, ce qui signifie qu’ils peuvent capter et confirmer les transactions bienveillantes de Harpie avant les attaquants, sauvant ainsi les utilisateurs du vol.
Une fois que Harpie est intervenu et a déplacé les actifs dans un endroit sûr, l’utilisateur peut les retirer vers un nouveau portefeuille non compromis pour un montant forfaitaire de 0,01 ETH, quel que soit le montant qui a été économisé dans la procédure.
Comment utiliser Harpie
Les utilisateurs doivent connecter leur porte-monnaie Web3 existant à Harpie pour utiliser le service. Ils peuvent le faire en cliquant sur le bouton “Enter App” dans le coin supérieur droit de la page d’accueil de Harpie, puis en cliquant sur “Connect” à l’intérieur de l’application. Les utilisateurs doivent également confirmer la connexion à l’intérieur de leurs portefeuilles séparément pour donner à Harpie la permission de surveiller leurs portefeuilles et d’en déplacer les fonds en cas d’incident.
Après la connexion, les utilisateurs sont invités à configurer leur “Réseau de confiance” d’applications et d’adresses. Il s’agit d’applications et d’adresses que les utilisateurs jugent sûres et qu’ils souhaitent exclure du pare-feu, ce qui signifie que Harpie ne bloquera pas automatiquement les transactions avec ces dernières.
Pour ce faire, les utilisateurs peuvent choisir s’ils utilisent des applications DeFi, des places de marché NFT ou les deux et sélectionner leur réseau d’applications de confiance dans une liste présélectionnée de protocoles établis. Tous les protocoles que Harpie recommande par défaut ont fait l’objet d’un audit approfondi, ont résisté à l’épreuve du temps et sont généralement considérés comme sûrs, ce qui signifie que les utilisateurs devraient se sentir en sécurité en les mettant tous sur liste blanche. Après avoir sélectionné l’ensemble des applications de confiance, les utilisateurs doivent appuyer sur “Continuer” dans le coin inférieur droit et signer la transaction dans leur portefeuille.
Une fois la signature effectuée, Harpie commencera à intégrer son système de pare-feu au portefeuille de l’utilisateur, et une fois que cela sera terminé, les utilisateurs seront dirigés vers leur tableau de bord. Là, ils peuvent naviguer vers l’onglet “Mon réseau de confiance” et ajouter toutes les adresses avec lesquelles ils interagissent régulièrement dans la section “Amis”. Il peut s’agir de leurs portefeuilles personnels, des portefeuilles de leurs amis et des adresses de dépôt des bourses centralisées qu’ils utilisent.
Les utilisateurs doivent également autoriser Harpie à accéder aux fonds de leur portefeuille pour pouvoir les déplacer vers un coffre-fort sécurisé en cas d’attaque. Ils peuvent le faire en cliquant sur “Protéger” pour chaque actif dans la section “Actifs protégés” de leur tableau de bord. S’ils ne peuvent pas voir tous les actifs qu’ils détiennent dans leur portefeuille, ils peuvent les importer manuellement depuis la même section du tableau de bord.
Cliquer sur “Protéger” pour chaque actif est la tâche la plus critique pour chaque utilisateur utilisant Harpie. En effet, l’établissement d’une liste blanche d’un réseau d’applications et d’adresses de confiance ne fait qu’indiquer à Harpie le trafic à surveiller, tandis que l’autorisation d’accéder aux fonds du portefeuille est ce qui lui permet d’intervenir et de déplacer les actifs vers un lieu sûr en cas d’attaque.
Enfin, les utilisateurs doivent configurer une adresse de retrait qui aura la possibilité de récupérer les fonds déplacés vers le coffre-fort au cas où Harpie serait intervenu lors d’une violation de sécurité. Ils peuvent le faire en cliquant sur le bouton “Setup” dans la section “Setup withdrawal address”, en saisissant l’adresse qu’ils veulent utiliser pour récupérer les fonds, en cliquant sur “Register”, puis en approuvant l’action avec leur portefeuille.
Il est important de préciser que Harpie ne peut protéger les utilisateurs que contre la perte des actifs qu’ils ont déjà dans leur portefeuille. Si les utilisateurs déposent ou mettent en jeu leurs actifs sur un protocole cryptographique tiers et que l’application est piratée, Harpie ne pourra rien faire pour protéger les fonds des utilisateurs.
Réflexions finales
Bien qu’aucun système ou protocole ne puisse à lui seul résoudre le problème de la sécurité de la crypto, l’approche du pare-feu sur chaîne de Harpie ajoute une couche de sécurité essentielle aux opérations quotidiennes des utilisateurs Web3 les plus actifs. Au-delà des piratages de protocole et de certains cas limites, Harpie peut protéger efficacement les utilisateurs contre les exploits cryptographiques presque communs sans entraver gravement leur expérience utilisateur.
Cela dit, l’interaction avec Web3 avec la solution de pare-feu de Harpie introduit encore quelques obstacles inévitables du point de vue de l’expérience utilisateur. Par exemple, les utilisateurs peuvent oublier de mettre sur liste blanche l’adresse de leur ami ou leur propre compte sur un échange centralisé et voir leurs actifs automatiquement déplacés vers la chambre forte non gardienne de Harpie après avoir tenté d’effectuer un transfert intentionnel. En outre, Harpie ne fournit pas non plus aux utilisateurs un moyen simple de révoquer l’accès du pare-feu. Une fois l’accès activé, les utilisateurs doivent utiliser une application tierce comme revoke.cash pour révoquer l’accès qu’ils ont donné à Harpie s’ils souhaitent s’en retirer.
Tout bien considéré, Harpie fournit une couche de sécurité sur la chaîne bien nécessaire que les utilisateurs ne peuvent actuellement trouver nulle part ailleurs. Bien que Harpie ne soit pas encore parfait, sa solution est un pas clair dans la bonne direction pour rendre Web3 plus sûr pour les utilisateurs réguliers.
