Dans le Web3, "signer" est une opération fondamentale. Mais les signatures malveillantes sont devenues un moyen principal de vol de cryptoactifs en 2024-2025.
Types de signatures
- personal_sign : Connexion DApp. Risque faible.
- eth_signTypedData : Autorisation off-chain. Risque moyen-élevé.
- eth_sign : Signature aveugle. Risque extrême.
- eth_sendTransaction : Transaction on-chain. Risque variable.
Comment les signatures malveillantes volent les actifs
Attaque Permit : Autorisation off-chain sans gas → l'attaquant transfère vos tokens. Attaque Seaport : Vend vos NFTs à prix dérisoire. eth_sign : Données hexadécimales illisibles = tout peut être signé. setApprovalForAll : Approbation totale de vos NFTs.
Comment identifier les demandes malveillantes ?
- Vérifiez le type (eth_sign = rejetez immédiatement)
- Lisez le contenu (Permit, approval, setApprovalForAll)
- Vérifiez la source
- Utilisez des outils de simulation (Pocket Universe, Fire, Blowfish)
Scénarios courants
Fausses pages d'airdrop, faux mints NFT, liens phishing Discord/Twitter, faux frontends DApp, ingénierie sociale.
Conseils de sécurité
- Lisez chaque demande de signature attentivement
- Installez des plugins de simulation
- Gardez eth_sign désactivé dans MetaMask
- Accédez aux DApps via vos favoris
- Utilisez un portefeuille séparé pour les tests
- En cas de doute, refusez
Inscrivez-vous sur Binance ou téléchargez l'App (iOS : guide) pour une sécurité multicouche.
Différence entre signature et transaction ?
Signature = off-chain, sans gas. Transaction = on-chain, avec gas. Mais les signatures peuvent déclencher des transactions.
Puis-je révoquer une signature malveillante ?
Pour les Permit non utilisés, émettez une nouvelle signature avec autorisation à 0. Fenêtre de temps très courte.
Les hardware wallets protègent-ils ?
Couche supplémentaire, mais inutile si vous confirmez sans lire.