Escroqueries et vulnérabilités dans le monde des cryptomonnaies
Cette méthode a déjà siphonné plus de 300 millions de dollars des utilisateurs de cryptomonnaies en exploitant la confiance sur des plateformes comme Telegram. Parallèlement, les développeurs d’Ethereum ont révélé qu’un bug dans Prysm, précédemment non détecté, introduit avant la mise à niveau Fusaka, avait causé un ralentissement temporaire de la validation le 4 décembre, entraînant des créneaux manqués et des récompenses perdues, mais sans perte de finalité. Bien que ces deux incidents aient finalement été contenus, ils soulignent qu’il existe encore un certain nombre de menaces préoccupantes pour la sécurité des cryptomonnaies.
Alerte de Security Alliance (SEAL)
L’organisation à but non lucratif de cybersécurité Security Alliance (SEAL) a émis un nouvel avertissement après avoir détecté plusieurs tentatives d’escroquerie quotidiennes liées à des groupes de hackers nord-coréens qui s’appuient sur de fausses réunions Zoom pour compromettre des victimes. Selon SEAL et la chercheuse en sécurité Taylor Monahan, cette campagne a déjà entraîné plus de 300 millions de dollars de fonds volés, les utilisateurs de cryptomonnaies, les développeurs et les équipes de protocoles étant parmi les principales cibles.
Le modus operandi des escrocs
L’escroquerie commence généralement sur Telegram, où une victime est contactée par un compte qui semble appartenir à quelqu’un qu’elle connaît déjà. Comme le compte semble familier, les victimes sont moins susceptibles de se méfier. Après une conversation informelle, l’attaquant suggère de se retrouver lors d’un appel Zoom. Avant la réunion, la victime reçoit un lien qui semble légitime mais est souvent masqué ou subtilement modifié.
Lorsque l’appel commence, la victime voit de vraies séquences vidéo de la personne usurpée ou de ses prétendus collègues. Monahan a expliqué que ces vidéos ne sont pas des deepfakes, mais des enregistrements recyclés pris lors de hacks précédents ou de sources disponibles publiquement, comme des interviews ou des podcasts, rendant la mise en scène très convaincante.
Une fois l’appel en cours, les attaquants prétendent avoir des problèmes audio ou techniques et demandent à la victime d’installer un patch ou une mise à jour pour résoudre le problème. Ce fichier est la clé de l’attaque. L’ouverture de celui-ci installe un logiciel malveillant sur l’appareil de la victime, donnant aux hackers accès à des informations sensibles.
Conséquences et recommandations
Le logiciel malveillant permet aux attaquants de voler des clés privées, des mots de passe, des données d’entreprise et d’accéder à des applications de messagerie comme Telegram. Le contrôle des comptes Telegram est particulièrement dangereux, car les hackers utilisent ensuite les contacts enregistrés pour usurper l’identité de la victime et cibler des amis, des collègues et des partenaires commerciaux.
Monahan a conseillé à quiconque ayant cliqué sur un lien Zoom suspect de se déconnecter immédiatement du WiFi et d’éteindre l’appareil concerné. En utilisant un appareil séparé et non compromis, les victimes devraient :
- Transférer des actifs cryptographiques vers de nouveaux portefeuilles
- Changer tous les mots de passe
- Activer l’authentification à deux facteurs
- Sécuriser leur compte Telegram en mettant fin à toutes les autres sessions et en mettant à jour les paramètres de sécurité
Un effacement complet de la mémoire de l’appareil infecté est recommandé avant qu’il ne soit utilisé à nouveau. Si un compte Telegram est compromis, les victimes doivent alerter d’urgence leurs contacts, car le silence augmente la probabilité que des amis et des collègues soient escroqués ensuite.
Incident de Prysm et ses implications
Pendant ce temps, les développeurs de Prysm ont confirmé qu’un bug logiciel introduit avant la mise à niveau Fusaka d’Ethereum était responsable d’un problème de validation de nœud qui a perturbé le réseau plus tôt ce mois-ci. Dans un post-mortem publié dimanche, le développeur d’Ethereum Terence Tsao a expliqué que l’incident, qui s’est produit le 4 décembre, provenait d’un défaut déployé sur des testnets environ un mois avant que Fusaka ne soit mis en ligne sur le mainnet.
Bien que le bug ait existé dans des environnements de test, il n’avait jamais été déclenché avant la mise à niveau, lui permettant d’atteindre la production sans être remarqué. Le problème provenait d’un changement de code spécifique de Prysm qui modifiait la façon dont le client gérait certains cas particuliers impliquant des nœuds désynchronisés.
Lorsque le bug a été activé sur le mainnet, les nœuds Prysm ont commencé à connaître une grave épuisement des ressources lors du traitement des attestations. Au lieu de s’appuyer sur l’état actuel de la chaîne, les nœuds affectés ont tenté de régénérer des états plus anciens à partir de zéro.
L’impact était mesurable mais contenu. Sur une période de plus de 42 époques, Ethereum a connu un taux de créneaux manqués élevé d’environ 18,5 %, tandis que la participation des validateurs est tombée à environ 75 %. Prysm a estimé que les validateurs utilisant son client avaient collectivement perdu environ 382 Ether en récompenses d’attestation manquées pendant la perturbation.
Malgré ces revers, Ethereum a continué à fonctionner sans perte totale de finalité, et le réseau s’est rétabli une fois que des mesures d’atténuation ont été déployées. Les opérateurs de nœuds ont rapidement reçu des instructions pour appliquer une solution temporaire pendant que les développeurs de Prysm travaillaient sur un correctif et le publiaient pour résoudre définitivement le problème.
Le correctif a garanti que Prysm ne régénérait plus inutilement des états antérieurs, éliminant le fardeau computationnel excessif qui avait causé le ralentissement. Les développeurs ont souligné que l’incident aurait pu être beaucoup plus grave s’il avait touché le client de consensus dominant d’Ethereum, Lighthouse.
Prysm représente actuellement environ 17,6 % du réseau, ce qui en fait le deuxième plus grand client en part de marché. Comme aucun client unique ne contrôlait plus d’un tiers des validateurs à l’époque, Ethereum a évité une perte temporaire de finalité ou des échecs de production de blocs à grande échelle. L’épisode a néanmoins ravivé des inquiétudes concernant la concentration des clients. Lighthouse représente encore plus de la moitié de la couche de consensus d’Ethereum, laissant le réseau dangereusement proche du seuil où un bug d’un client unique pourrait avoir des conséquences systémiques.
