Merci beaucoup pour tes remarques. Si tu prends un hotwallet + une passphrase de ouf, j'ai l'impression que c'est quand chaud pour le pirater (ouais un peu facile le jeu de mots). J'ai même l'impression que des scammers utilisent ça pour récupérer pleins de fees. En effet, sur twitter tu vois passer des phrases mnémoniques de temps en temps. j'ai voulu creuser un peu. J'ai installé un de ces wallets : je peux voir ce qu'il y a dedans, les mouvements, mais il n'est pas possible de faire de transfert de fonds. Je me suis demandée comment c'était possible. C'est peut-être cette passphrase la réponse, non ? Des idées ?
Je suis pas certain qu'on parle de la même chose, désolé si je suis HS par rapport à ce que tu dis (si jamais c'est trop HS je laisse à Halab le soin de supprimer ce post
)
Ce que tu racontes me fais penser à un type d'arnaque bien connu,
Tu connais les sites de ce genre ?
https://privatekeys.pw/Il y a en une bonne dizaine en ligne, ils recensent toutes les clés privées imaginables, et les trient par crypto.
Les pages les plus vues sont les premières pages, genre les pages de 1 à 100. Prenons l'exemple de l'ETH, car c'est le plus parlant :
Page 1 pour l'exemple :
Tu remarqueras qu'il y a des miettes d'ETH sur ces adresses, des NFT, des token ERC20 en masse des fois.
Le but c'est que tu te dises "Bingo! J'importe la private key dans Trustwallet, j'envoie un peu d'ETH pour les fees, et à moi les fantastiques NFT de Salma Hayek nue en ASCII art".
Des gens se font avoir, et perdent leur fees car il y a simplement un smart contract qui les renvoient sur une autre adresse, adresse dont ils n'auront jamais la private key.
J'ignore si une passphrase est inclue là-dedans, car si tu fais le test, tu pourras effectivement importer les private keys que tu vois sur le site, voir la balance dans ton wallet, et tout correspond à la virgule près. Si tu arrivais à y envoyer de quoi payer les fees, tu pourrais vraisemblablement retirer les tokens et les NFT en questions.
La même chose existe avec les private keys de Bitcoin, où une technique de balayage est utilisée pour rapatrier automatiquement les coins envoyés sur ces clés vers une adresse tierce dont seuls ces scammers ont le contrôle.
PS : +1 pour ton jeu de mots
PS 2 : Je viens de relire ton message, je sais pas si tu peux voir en mode spectateur un wallet qui a une passphrase en rentrant la seed sans passphrase, bonne question. Pour moi la passphrase fait partie de la seed et donc en théorie ça devrait pas marcher comme ça, mais j'en ai aucune idée objectivement