La Porte Dérobée Cachée : Pourquoi Vous Devez Révoquer Vos Permissions

Résumé : Déconnecter votre portefeuille d'un site web n'empêche pas ce site de déplacer vos fonds. La plupart des applications DeFi demandent une « Permission Illimitée » pour dépenser vos tokens. Ce guide explique comment utiliser Revoke.cash pour fermer ces portes laissées grandes ouvertes.

---

Prompts Midjourney

1. /imagine prompt: A futuristic bank vault door that is closed and locked, but there is a small, unnoticed ventilation shaft that is wide open, "The Hidden Backdoor" --ar 16:9
2. /imagine prompt: A visual metaphor of "Unlimited Allowance", a stream of gold coins flowing from a user's pocket to a mysterious figure in the shadows, even though the user is walking away --ar 16:9
3. /imagine prompt: A digital dashboard showing a list of connections, with a user clicking a red "REVOKE" button, turning the lights from red to green --ar 16:9

---

1. L'Analogie du Valet de Parking

Imaginez que vous allez au restaurant et donnez vos clés de voiture au valet. Vous vous attendez à ce qu'il gare la voiture et la ramène.

Mais en DeFi, quand vous tradez sur un site comme Uniswap, vous ne leur donnez pas seulement les clés. Vous signez souvent un contrat qui dit :

« Ce valet est autorisé à prendre ma voiture à tout moment, à la vendre, et à garder l'argent, pour toujours. »

C'est ce qu'on appelle une Autorisation Illimitée (Unlimited Allowance).

Les développeurs font cela par commodité, pour que vous n'ayez pas à signer une permission à chaque transaction. Mais si ce site est piraté (ou devient malveillant), ils peuvent utiliser cette permission pour vider votre portefeuille, même si vous n'avez pas visité le site depuis des années.

2. Le Mythe : « Déconnecter le Portefeuille »

Beaucoup d'utilisateurs pensent : « J'ai cliqué sur 'Déconnecter' dans MetaMask, donc je suis en sécurité. »

Faux.

Déconnecter empêche seulement le site de voir votre solde. Cela n'annule pas la permission que vous avez signée. L'« Autorisation Illimitée » reste active sur la blockchain pour toujours jusqu'à ce que vous l'annuliez.

3. La Solution : Revoke.cash

Vous devez effectuer un « Audit de Sécurité » de votre propre portefeuille.

Étape 1 : Scannez Votre Portefeuille

Allez sur Revoke.cash.

(Rappelez-vous la Règle du Signet : Vérifiez l'URL soigneusement !).

Connectez votre portefeuille (Ledger/MetaMask).

Étape 2 : Cherchez l'« Illimité » (Unlimited)

Vous verrez une liste de tous les sites que vous avez utilisés.

Cherchez la colonne « Allowance » (Autorisation).

• Si elle indique « Unlimited USDT » ou un nombre énorme comme 1.15e+59, c'est un risque.
• Si le « Bénéficiaire » (Spender) est un site que vous n'utilisez plus, c'est un Risque Élevé.

Étape 3 : Révoquez (Revoke It)

Cliquez sur le bouton « Revoke ».

Vous paierez de petits frais de gaz (généralement 1 à 5 $). Cette transaction dit à la blockchain : « Déchirez le contrat. Ce site ne peut plus toucher à mes fonds. »

En savoir plus : D'où viennent ces autorisations ? Souvent de l'Ice Phishing ou de front-ends compromis par des attaques de la Chaîne d'Approvisionnement.

Conclusion

Une bonne hygiène de sécurité consiste à « Révoquer » les permissions de toute application que vous n'utilisez pas activement. Verrouillez votre porte d'entrée, mais assurez-vous de vérifier la porte de derrière aussi.