Incident de Sécurité d’un Développeur Ethereum
Un développeur principal d’Ethereum, Zak Cole, a récemment déclaré avoir été victime d’un draineur de portefeuille de cryptomonnaie, lié à une extension de code malveillante. Cet incident souligne que même les professionnels expérimentés peuvent être piégés par des escroqueries de plus en plus sophistiquées.
Le Détail de l’Attaque
Cole a installé le fichier « contractshark.solidity-lang », qui semblait légitime grâce à une icône professionnelle, un texte descriptif convaincant et plus de 54 000 téléchargements. Cependant, cette extension a silencieusement exfiltré sa clé privée. Le plugin a pu « lire mon fichier .env » et a envoyé la clé au serveur de l’attaquant, permettant ainsi l’accès à son portefeuille chaud pendant trois jours avant que les fonds ne soient vidés dimanche dernier.
« En plus de dix ans, je n’ai jamais perdu un seul wei aux hackers. Puis, j’ai été pressé de livrer un contrat la semaine dernière, » a déclaré Cole, précisant que la perte était limitée à « quelques centaines » de dollars en Ether.
Les Draineurs de Portefeuille : Une Menace Croissante
Les draineurs de portefeuilles, des logiciels malveillants conçus pour voler des actifs numériques, représentent une menace croissante pour les investisseurs en cryptomonnaie. En septembre 2024, un draineur de portefeuille déguisé en WalletConnect Protocol a volé plus de 70 000 dollars d’actifs numériques aux investisseurs après avoir été disponible sur le Google Play Store pendant plus de cinq mois.
Conseils de Sécurité pour les Développeurs
Les extensions publicitaires deviennent un « vecteur d’attaque majeur » pour les développeurs de crypto. Selon Hakan Unal, responsable senior des opérations de sécurité chez la société de sécurité blockchain Cyvers, « les développeurs devraient vérifier les extensions, éviter de stocker des secrets en texte clair ou dans un fichier .env, utiliser des portefeuilles matériels et développer dans des environnements isolés. »
Pendant ce temps, les draineurs de crypto deviennent de plus en plus accessibles pour les escrocs. Un rapport du 22 avril de la société de forensic crypto et de conformité AMLBot a révélé que ces draineurs sont vendus sous forme de modèles logiciels en tant que service, permettant aux escrocs de les louer pour aussi peu que 100 USD, selon Cointelegraph.
