En 2023, les pertes dues aux escroqueries de phishing sur la chaîne ont atteint 1,2 milliard de dollars, dont 31 % des cas ont été mis en œuvre par la falsification de codes QR. Face à cette situation grave, WalletConnect a lancé une stratégie de protection complète visant à améliorer considérablement la sécurité des utilisateurs.

Tout d'abord, WalletConnect a mis en œuvre un mécanisme de liaison de domaine strict. Lorsqu'un DApp soumet une demande de projet, il doit fournir une liste blanche https, et le portefeuille vérifiera automatiquement le champ de redirection dans l'URI lors de la numérisation du code QR. Si le domaine n'est pas dans la liste blanche, le système affichera immédiatement un avertissement rouge bien visible, informant l'utilisateur que ce site n'a pas été vérifié.

Deuxièmement, WalletConnect a établi un système de synchronisation de liste noire à jour en temps réel. Chaque jour, WalletConnect Cloud récupère automatiquement les dernières informations sur les listes noires de trois sources autorisées : Chainabuse, ScamSniffer et Metamask Phishing Detector, et synchronise les mises à jour dans les 15 minutes sur 400 nœuds de relais dans le monde entier, sans nécessiter d'opérations de code supplémentaires du côté du frontend.

Troisièmement, WalletConnect introduit un mécanisme innovant de vérification de hachage d'icônes. Lorsque le DApp télécharge une icône, le service Cloud génère une empreinte SHA-256 unique et l'incorpore dans l'URI. Le portefeuille compare cette empreinte avec la cohérence de l'icône téléchargée, empêchant efficacement les hackers de cloner des sites légitimes par la méthode du "wrapper".

Quatrièmement, WalletConnect utilise une technologie URI à usage unique. Chaque URI du code QR contient une symKey aléatoire de 8 octets et expire automatiquement après 5 minutes. Cette mesure empêche efficacement les hackers de créer des affiches de codes QR de phishing valides à long terme.

Enfin, WalletConnect a renforcé l'éducation des utilisateurs. L'interface du portefeuille affichera obligatoirement le message "Veuillez vérifier l'URL" et mettra en place un compte à rebours de 3 secondes, les utilisateurs ne pouvant pas passer cet avertissement. Des tests réels ont montré que cette mesure simple mais efficace peut réduire le taux de réussite des attaques de phishing de 0,9 % à 0,12 %.

Grâce à ces mesures de protection multi-niveaux, WalletConnect a non seulement sensibilisé les utilisateurs à la sécurité, mais a également construit un rempart de sécurité plus solide pour l'ensemble de l'écosystème blockchain. Avec la promotion et l'amélioration de ces mesures, nous avons des raisons de croire que la sécurité des transactions en chaîne sera considérablement améliorée à l'avenir, posant ainsi une base plus solide pour le développement sain du Web3.