Vol de 440 000 $ en USDC par un hacker
Un hacker a dérobé plus de 440 000 $ en USDC après qu’un propriétaire de portefeuille ait signé, sans le savoir, une signature « permis » malveillante, selon un tweet de Scam Sniffer publié lundi. Ce vol survient dans un contexte d’augmentation des pertes dues au phishing.
Augmentation des pertes dues au phishing
Environ 7,77 millions de dollars ont été siphonnés de plus de 6 000 victimes en novembre, d’après le rapport mensuel de Scam Sniffer, représentant une hausse de 137 % des pertes totales par rapport à octobre, bien que le nombre de victimes ait diminué de 42 %.
« La chasse aux baleines s’est intensifiée avec un montant record de 1,22 million de dollars (signature de permis). Malgré une diminution des attaques, les pertes individuelles ont considérablement augmenté, » a noté l’entreprise.
Les escroqueries basées sur les permis
Les escroqueries basées sur les permis consistent à tromper les utilisateurs pour qu’ils signent une transaction qui semble légitime, mais qui accorde discrètement à un attaquant le droit de dépenser leurs jetons. Les dapps malveillants peuvent déguiser des champs, usurper des noms de contrats ou présenter la demande de signature comme quelque chose de routinier.
Si un utilisateur ne scrute pas les détails, signer la demande accorde effectivement à l’attaquant la permission d’accéder à tous les jetons ERC-20 de l’utilisateur. Une fois cette permission accordée, les escrocs siphonnent généralement les fonds immédiatement.
« Ce qui est particulièrement délicat avec ce type d’attaque, c’est que les attaquants peuvent soit effectuer le permis et le transfert de jetons en une seule transaction (une approche de type smash and grab), soit se donner accès via le permis et ensuite rester inactifs en attendant de transférer des fonds ajoutés ultérieurement, » a déclaré Tara Annison, responsable produit chez Twinstake, à Decrypt.
Vigilance et protection des utilisateurs
Annison a souligné que cet incident n’est pas isolé. « Il existe de nombreux exemples de grande valeur et de volume élevé d’escroqueries de phishing conçues pour tromper les utilisateurs en leur faisant signer quelque chose qu’ils ne comprennent pas entièrement. Cela se fait souvent sous le couvert de distributions gratuites, de fausses pages de projets pour connecter votre portefeuille ou d’avertissements de sécurité frauduleux pour vérifier si vous avez été impacté, » a-t-elle ajouté.
Les fournisseurs de portefeuilles ont déployé davantage de fonctionnalités de protection. MetaMask, par exemple, avertit les utilisateurs si un site semble suspect et tente de traduire les données de transaction en une intention compréhensible. D’autres portefeuilles mettent également en évidence des actions à haut risque.
Harry Donnelly, fondateur et PDG de Circuit, a déclaré à Decrypt que les attaques de style permis sont « assez répandues » et a exhorté les utilisateurs à vérifier les adresses des expéditeurs et les détails des contrats.
Prévention des escroqueries
Annison a souligné que la vigilance reste la meilleure défense des utilisateurs. « La meilleure façon de vous protéger contre une escroquerie de permis, approveAll ou transferFrom est de vous assurer que vous savez ce que vous signez. Quelles actions seront réellement effectuées dans la transaction ? Quelles fonctions sont utilisées ? Cela correspond-il à ce que vous pensiez signer ? »
« De nombreux portefeuilles et dapps ont amélioré les interfaces utilisateur pour s’assurer que vous ne signez pas aveuglément quelque chose et que vous pouvez voir ce que cela entraînera, ainsi que des avertissements pour les fonctions à haut risque utilisées. Cependant, il est important que les utilisateurs vérifient activement ce qu’ils signent et ne se contentent pas de connecter leur portefeuille et de cliquer sur signer, » a-t-elle déclaré.
Récupération des fonds volés
Une fois volés, la récupération des fonds est peu probable. Martin Derka, co-fondateur et responsable technique de Zircuit Finance, a déclaré à Decrypt que les chances de récupérer les fonds étaient pratiquement nulles.
« Dans les attaques de phishing, vous traitez avec un individu dont l’objectif est de prendre vos fonds. Il n’y a pas de négociation, pas de point de contact, et souvent pas d’idée de qui est la contrepartie, » a-t-il déclaré.
« Ces attaquants jouent à un jeu de chiffres, » a ajouté Derka, précisant que « une fois que l’argent est parti, c’est parti. La récupération est essentiellement impossible. »
