#Web3SecurityGuide

Votre phrase de départ n’est pas un mot de passe. C’est toute votre identité on-chain. Dès qu’elle quitte vos mains — saisie sur un site web, collée dans un DM, photographiée et stockée dans le cloud — vous ne possédez plus votre portefeuille. Vous ne faites que le lui emprunter à celui qui trouve d’abord ce fichier.

La plupart des gens se font vider non pas parce qu’ils sont négligents, mais parce qu’ils sont pressés. Une fenêtre contextuelle a l’air familier. Un mod Discord semble serviable. Une approbation de contrat paraît routinière. Cette fraction de seconde de confiance, accordée à la mauvaise adresse, suffit.

Les portefeuilles matériels comptent, mais ils ne mettent pas fin à votre responsabilité. Signer une transaction malveillante sur un portefeuille matériel, c’est encore signer une transaction malveillante. L’appareil protège votre clé privée contre l’extraction. Il ne vous protège pas de l’approbation de quelque chose que vous ne devriez pas approuver.

Avant de signer quoi que ce soit, demandez-vous ce que vous autorisez réellement. Pas ce que le site dit que vous autorisez. Ce que dit la transaction brute. Des outils comme Rabby ou les simulateurs intégrés dans les portefeuilles modernes affichent le vrai résultat — transferts de tokens, approbations, interactions avec des contrats — avant que vous confirmiez. Utilisez-les à chaque fois, sans exception.

Les approbations de tokens font partie des surfaces d’attaque les plus souvent négligées dans Web3. Lorsque vous approuvez un contrat pour dépenser des tokens illimités, cette autorisation reste en vie on-chain indéfiniment. Révoquez les approbations dont vous n’avez plus besoin. Traitez chaque approbation ouverte comme une porte que vous avez oublié de verrouiller.

Séparez vos portefeuilles par objectif. Un portefeuille chaud que vous utilisez au quotidien pour de petites transactions ne devrait contenir que ce que vous êtes prêt à perdre entièrement. Vos principales détentions doivent être conservées en stockage à froid, consultées rarement, sur un appareil qui ne touche aucun autre logiciel.

L’hameçonnage dans Web3 a largement dépassé les faux e-mails. Les attaquants clonent désormais des protocoles entiers jusqu’au pixel, achètent des emplacements de recherche sponsorisés pour des URL frauduleuses et compromettent des serveurs Discord officiels. Mettez en favori les protocoles que vous utilisez. Ne recherchez jamais une application DeFi et ne cliquez jamais sur le premier résultat.

Soyez particulièrement prudent avec tout ce qui promet de récupérer des fonds perdus, vous offre un airdrop inattendu, ou qui vous contacte en premier. Les protocoles légitimes ne vous contactent pas. Si quelqu’un fait tout pour vous aider à accéder à de l’argent gratuit, il essaie d’accéder à votre argent.

La pratique de sécurité la plus durable est simple : ralentissez avant de confirmer. Chaque action irréversible on-chain mérite au moins dix secondes d’attention délibérée. La plupart des exploits réussissent parce que les utilisateurs vont plus vite qu’ils ne le pensent.