Résumé

• La plupart des utilisateurs de crypto ne se font pas pirater par des exploits complexes, mais plutôt en cliquant, en signant ou en faisant confiance à la mauvaise chose. Ce rapport explique comment ces échecs quotidiens se produisent.
• Des kits de phishing et des siphonneurs de portefeuilles aux malwares et aux arnaques de faux support, la majorité des attaques ciblent directement les utilisateurs, et non les protocoles, ce qui fait que le fil conducteur est le contexte humain, et non le code.
• Ce rapport présente les 101 exploits crypto en ce qui concerne les utilisateurs individuels, couvrant une liste d'exploits courants, ainsi que des exemples concrets et des points d'attention.

1. À savoir : Vous êtes la surface d'attaque

Le Crypto est auto-géré par conception. C'est la fonctionnalité. Mais cette caractéristique fondamentale, qui est au cœur des valeurs de l'industrie, peut souvent faire de vous l'utilisateur un point de défaillance unique. Dans de nombreux cas d'individus perdant leurs fonds en crypto, ce n'est pas un bug dans le protocole : c'est un clic. Un DM. Une approbation. Un moment de confiance ou de négligence à effectuer une tâche quotidienne apparemment non conséquente qui peut altérer le cours des expériences crypto d'une personne.

Ce rapport n'est pas un livre blanc technique ni une revue de la logique des contrats intelligents, mais plutôt un modèle de menace pour les individus. Une analyse de la manière dont les utilisateurs sont exploités en pratique, et ce qu'il faut faire à ce sujet. Le rapport se concentrera sur les exploitations au niveau personnel : phishing, approbations de portefeuille, ingénierie sociale, logiciels malveillants. Il couvrira également brièvement les risques au niveau des protocoles à la fin pour donner un aperçu du spectre des exploitations qui se produisent dans le crypto.

2. Le Manuel Complet des Exploits (En Quelque Sorte)

La nature permanente et irréversible des transactions qui se produisent dans des environnements sans autorisation, souvent sans l'avis d'intermédiaires, combinée au fait que les utilisateurs individuels sont responsables d'interagir avec des contreparties anonymes sur les mêmes appareils et navigateurs qui détiennent des actifs financiers, fait de la crypto un terrain de chasse unique pour les hackers et autres criminels. Ci-dessous se trouve une liste exhaustive des types d'exploits auxquels les individus peuvent être confrontés, mais les lecteurs doivent être conscients que, bien que cette liste couvre la majorité des exploits, elle n'est pas exhaustive. La liste peut être écrasante pour ceux qui ne sont pas familiers avec la crypto, mais une bonne partie de ces exploits sont des exploits "réguliers" qui se produisent depuis un certain temps à l'ère d'Internet et ne sont pas uniques à cette industrie. §3 couvrira quelques méthodes d'exploitation clés en détail.

2.1 Attaques d'ingénierie sociale

Des attaques reposant sur la manipulation psychologique pour tromper les individus afin qu'ils compromettent leur sécurité.

• Phishing : De faux e-mails, messages ou sites imitent de vraies plateformes pour voler des identifiants ou des phrases de récupération (plus dans §3).
• Escroqueries par usurpation d'identité : Les attaquants se font passer pour des influenceurs, des leaders de projet ou un support client afin de gagner la confiance et d'extraire des fonds ou des informations sensibles.
• Escroqueries liées aux phrases de récupération : Les utilisateurs sont trompés en révélant des phrases de récupération via de faux outils de récupération ou des cadeaux.
• Faux Airdrops : Incitez les utilisateurs avec des jetons gratuits pour les pousser à des interactions non sécurisées avec leur portefeuille ou au partage de clés privées.
• Offres d'emploi frauduleuses : déguisées en opportunités d'emploi mais visant à installer des logiciels malveillants ou à collecter des données sensibles.
• Schémas de Pump-and-Dump : Efforts coordonnés socialement pour faire le battage et se débarrasser des tokens auprès de participants de détail non avertis.

Figure 1 : Les conséquences de l'ingénierie sociale peuvent être très graves
Source : Cointelegraph

2.2 Télécom & Prise de Contrôle de Compte

Exploiter les infrastructures télécom ou les faiblesses au niveau des comptes pour contourner l'authentification.

• SIM Swapping : Les attaquants détournent le numéro de téléphone mobile d'une victime pour intercepter les codes 2FA et réinitialiser les identifiants du compte (plus dans §3).
• Credential Stuffing : Réutiliser des identifiants divulgués lors de violations pour accéder aux portefeuilles ou aux comptes d'échange.
• Contournement de la 2FA : Exploiter une authentification faible ou basée sur SMS pour obtenir un accès non autorisé.
• Détournement de session : Voler des sessions de navigateur via des logiciels malveillants ou des réseaux non sécurisés pour prendre le contrôle des comptes connectés.

Figure 2 : Un faux Tweet de la SEC via un échange de SIM
Source : Twitter

2.3 Logiciels malveillants & Exploits de dispositifs

Compromettre l'appareil de l'utilisateur pour extraire l'accès au portefeuille ou manipuler les transactions (plus dans §3).

• Keyloggers : Enregistrer les frappes pour voler des mots de passe, des codes PIN et des phrases de récupération.
• Pirates de presse-papiers : Remplacer les adresses de portefeuille collées par celles contrôlées par l'attaquant.
• Trojans d'accès à distance (RAT) : Permettent aux attaquants d'avoir un contrôle total sur la machine d'une victime, y compris les portefeuilles.
• Extensions de navigateur malveillantes : Les extensions compromises ou fausses volent des données ou manipulent des transactions.
• Faux portefeuilles ou applications : Applications contrefaites (mobiles ou navigateurs) qui drainent des fonds lors de leur utilisation.
• Attaques de l'homme du milieu (MITM) : Intercepter et modifier la communication entre l'utilisateur et le service, en particulier sur des réseaux non sécurisés.
• Attaques Wi-Fi non sécurisées : Le Wi-Fi public ou compromis permet l'interception de données sensibles lors des connexions ou des transferts.

Figure 3 : Les faux portefeuilles sont une escroquerie courante visant les utilisateurs débutants de crypto.
Source : cryptorank

2.4 Exploits au Niveau du Portefeuille

Attaques visant la manière dont les utilisateurs gèrent ou interagissent avec les portefeuilles et les interfaces de signature.

• Approbations Drainent : Les contrats intelligents malveillants exploitent les approbations de jetons antérieures pour vider des jetons.
• Attaques de signature aveugle : Les utilisateurs signent des charges utiles obscures qui entraînent une perte de fonds (par exemple, à partir de portefeuilles matériels).
• Vol de phrase de récupération : Exfiltration de phrases de récupération via des logiciels malveillants, du phishing ou une mauvaise hygiène de stockage.
• Clés privées compromises : stockage insecure (par exemple sur des disques cloud ou des notes en texte brut) entraînant une fuite de clé.
• Portefeuilles matériels compromis : Les dispositifs falsifiés ou contrefaits divulguent des clés privées aux attaquants.

2.5 Risques au niveau des contrats intelligents et des protocoles

Risques découlant des interactions avec un code on-chain malveillant ou vulnérable.

• Contrats intelligents malveillants : une logique malveillante cachée qui vide les fonds lorsqu'elle est interagie.
• Attaques par prêts flash : Exploits utilisant des prêts non garantis pour manipuler les prix ou la logique du protocole.
• Manipulation d'Oracle : L'attaquant fausse les flux de prix pour exploiter les protocoles s'appuyant sur des données défectueuses.
• Escroqueries de liquidité de sortie : Les créateurs conçoivent des jetons/pools où seuls eux peuvent retirer de la valeur, laissant les utilisateurs piégés.
• Attaques Sybil : De fausses identités déforment les systèmes décentralisés, en particulier la gouvernance ou l'éligibilité aux airdrops.

Figure 4 : Un prêt flash a été responsable de l'un des plus grands exploits de DeFi
Source : Elliptic

2.6. Projets et escroqueries de manipulation de marché

Escroqueries liées à la structure des tokens, des projets DeFi ou des collections NFT.

• Rug Pulls : Les fondateurs de projets disparaissent après avoir levé des fonds, laissant des tokens sans valeur.
• Projets factices : des collections trompeuses attirent les utilisateurs à frapper des escroqueries ou à signer des transactions nuisibles.
  Attaques de poussière : Transferts de jetons minimes utilisés pour dé-anonymiser les portefeuilles et identifier les cibles pour le phishing ou les escroqueries.

2.7. Attaques Web & Infrastructure

Exploiter l'infrastructure de niveau front-end ou DNS sur laquelle les utilisateurs comptent.

• Détournements de Front-End / Usurpation DNS : Les attaquants redirigent les utilisateurs vers des interfaces malveillantes pour voler des informations d'identification ou inciter à des transactions non sécurisées.
• Exploits de ponts : Hacks de ponts inter-chaînes qui compromettent les fonds des utilisateurs en cours de transfert.

2.8. Menaces physiques

Risques réels impliquant coercition, vol ou surveillance.

• Attaque à la clé à 5 $ : Les victimes sont physiquement contraintes de transférer des fonds ou de révéler des phrases de démarrage.
• Vol physique : Des dispositifs ou des sauvegardes (par exemple, des portefeuilles matériels, des carnets) sont volés pour obtenir un accès.
• Surveillance par épaule : Observer ou filmer des utilisateurs saisissant des données sensibles dans des lieux publics ou privés.

Figure 5 : Malheureusement, les menaces physiques ont été courantes.
Source : The New York Times

3. Exploits clés à surveiller

Certain exploits se produisent plus souvent que d'autres. Voici trois exploits que les personnes détenant ou interagissant avec des cryptos devraient connaître, y compris comment les prévenir. Une agrégation de techniques de prévention et d'attributs clés à surveiller sera listée à la fin de la section, car il existe des chevauchements parmi les différentes méthodes d'exploitation.

3.1 Phishing (y compris les faux portefeuilles et les airdrops)

Le phishing précède le crypto de plusieurs décennies et le terme est apparu dans les années 1990 pour décrire les attaquants « pêchant » des informations sensibles, généralement des identifiants de connexion, via de faux e-mails et des sites web. Alors que le crypto émergeait en tant que système financier parallèle, le phishing a naturellement évolué pour cibler les phrases de récupération, les clés privées et les autorisations de portefeuille, c'est-à-dire les équivalents crypto de « plein contrôle ».

Le phishing Crypto est particulièrement dangereux car il n'y a pas de recours : pas de rétrofacturations, pas de protection contre la fraude et pas de support client capable d'annuler une transaction. Une fois que votre clé est volée, vos fonds sont pratiquement perdus. Il est également important de se rappeler que le phishing est parfois juste la première étape d'une exploitation plus large, rendant le véritable risque non pas la perte initiale, mais la longue série de compromissions qui suivent, par exemple, des identifiants compromis peuvent permettre à un attaquant d'usurper l'identité de la victime et d'escroquer d'autres personnes.

Comment fonctionne le phishing ?

Au cœur du phishing, on exploite la confiance humaine en présentant une version fausse d'une interface de confiance, ou en se faisant passer pour une personne d'autorité, afin de tromper les utilisateurs pour qu'ils transmettent volontairement des informations sensibles ou approuvent des actions malveillantes. Il existe plusieurs vecteurs de livraison principaux :

• Sites de phishing
  • Versions fausses de portefeuilles (par exemple, MetaMask, Phantom), d'échanges (par exemple, Binance) ou de dApps.
  • Souvent promu par le biais de publicités Google ou partagé via des groupes Discord/Twitter, conçu pour être identique pixel par pixel au vrai site.
  • Les utilisateurs peuvent être invités à "importer un portefeuille" ou "récupérer des fonds", en récoltant leur phrase de récupération ou leur clé privée.
• E-mails & Messages de Phishing
  • Ressemble à une communication officielle (par exemple, « mise à jour de sécurité urgente » ou « compte compromis »).
  • Inclure des liens vers de faux portails de connexion ou vous diriger pour interagir avec des tokens ou des contrats intelligents malveillants.
  • Commun sur Telegram, Discord, Twitter DMs, et même SMS.
• Faux portefeuilles ou extensions de navigateur
  • Disponible sur les magasins d'applications ou en tant qu'extensions Chrome.
  • Mimique fonctionnellement de vrais portefeuilles, mais transfère votre clé privée ou vos données de transaction aux attaquants.
  • Certains vous permettent même de transférer des fonds seulement pour être vidés quelques minutes plus tard.
• Arnaques de Airdrop
  • Des drops de faux tokens envoyés aux portefeuilles (surtout sur les chaînes EVM).
  • Cliquer sur le jeton ou essayer de le trader déclenche une interaction avec un contrat malveillant.
  • Peut demander discrètement des approbations de jetons illimitées ou voler votre jeton natif via une charge utile signée.

Figure 6 : Soyez toujours prudent lorsque vous voyez « gratuit » dans le crypto
Source : Presto Research

Exemples de phishing
Le piratage du portefeuille Atomic en juin 2023, attribué au groupe Lazarus de la Corée du Nord, reste l'une des attaques de phishing pures les plus destructrices de l'histoire du Crypto. Il a conduit au vol de plus de 100 millions de dollars en cryptomonnaie en compromettant plus de 5 500 portefeuilles non custodiaux sans nécessiter que les utilisateurs signent des transactions malveillantes ou interagissent avec des contrats intelligents. Cette attaque s'est concentrée uniquement sur l'extraction des phrases de récupération et des clés privées par le biais d'interfaces trompeuses et de logiciels malveillants - un exemple classique de vol d'identifiants basé sur le phishing.
Atomic Wallet est un portefeuille multi-chaînes et non-custodial prenant en charge plus de 500 cryptomonnaies. Dans cet incident, des attaquants ont lancé une campagne de phishing coordonnée qui a exploité la confiance que les utilisateurs avaient dans l'infrastructure de support du portefeuille, les processus de mise à jour et l'identité de la marque. Les victimes ont été attirées par des e-mails, des faux sites Web et des mises à jour logicielles trojanisées, tous conçus pour imiter des communications légitimes d'Atomic Wallet.

Les vecteurs de phishing comprenaient :

• Des e-mails frauduleux se faisant passer pour le support ou les alertes de sécurité d'Atomic Wallet, incitant à une action urgente.
• Sites Web falsifiés (par exemple, atomic-wallet[.]co) qui imitait l'interface de récupération ou de réclamation de récompense du portefeuille.
• Des mises à jour malveillantes distribuées via Discord, email et forums compromis, qui dirigeaient soit les utilisateurs vers des pages de phishing, soit extrait des identifiants via des logiciels malveillants locaux.

Une fois que les utilisateurs ont saisi leurs phrases de récupération de 12 ou 24 mots ou leurs clés privées dans ces interfaces frauduleuses, les attaquants ont eu un accès complet à leurs portefeuilles. Cette exploitation n'impliquait aucune interaction on-chain de la part de la victime : aucune connexion de portefeuille, aucune demande de signature et aucune implication de contrat intelligent. Au lieu de cela, elle reposait entièrement sur l'ingénierie sociale et la volonté de l'utilisateur de restaurer ou de vérifier son portefeuille sur ce qui semblait être une plateforme de confiance.

3.2 Draineurs de portefeuille & approbations malveillantes

Un draineur de portefeuille est un type de contrat intelligent malveillant ou d'application décentralisée conçu pour extraire des actifs de votre portefeuille, non pas en volant votre clé privée, mais en vous trompant pour que vous autorisiez l'accès aux tokens ou que vous signiez des transactions dangereuses. Contrairement au phishing, qui cherche vos identifiants, les draineurs exploitent les autorisations - le mécanisme élémentaire de confiance qui alimente le Web3.

Alors que les applications DeFi et Web3 sont devenues mainstream, des portefeuilles comme MetaMask et Phantom ont popularisé l'idée de "se connecter" aux dApps. Cela a apporté de la commodité mais aussi une surface d'attaque massive. Entre 2021 et 2023, les drainages d'approbation ont explosé en popularité grâce aux émissions NFT, aux fausses airdrops, et les dApps escrocs ont commencé à intégrer des contrats malveillants dans des interfaces utilisateur autrement familières. Les utilisateurs, souvent excités ou distraits, se connectaient à leur portefeuille et cliquaient sur "Approuver" sans réaliser ce qu'ils autorisaient.

En quoi cela est-il différent du phishing ?
Le phishing consiste à tromper quelqu'un pour qu'il révèle volontairement des informations sensibles, telles qu'une phrase de récupération, un mot de passe ou une clé privée. Connecter votre portefeuille ne révèle pas vos clés ou phrases car vous ne transmettez pas de secrets, vous signez des transactions ou accordez des permissions. Ces exploits se produisent par le biais de la logique des contrats intelligents, et non par le vol de vos informations d'identification, ce qui les rend mécaniquement différents du phishing. Vous autorisez la fuite, souvent sans vous en rendre compte, ce qui ressemble davantage à un "piège de consentement" qu'au vol d'identifiants.
Vous pouvez considérer le phishing comme basé sur des IDENTIFIANTS et les drainages de portefeuilles / approbations malveillantes comme basés sur des AUTORISATIONS.

Les mécanismes de l'attaque
Les approbations malveillantes exploitent les systèmes de permissions dans les normes de blockchain comme ERC-20 (tokens) et ERC-721/ERC-1155 (NFTs). Elles trompent les utilisateurs en leur faisant accorder aux attaquants un accès continu à leurs actifs.

• Les bases de l'approbation des tokens :
  • Tokens ERC-20 : La fonction approve(address spender, uint256 amount) permet à un "spender" (par exemple, une DApp ou un attaquant) de transférer un montant spécifié de tokens depuis le portefeuille de l'utilisateur.
  • NFTs : La fonction setApprovalForAll(address operator, bool approved) accorde à un « opérateur » la permission de transférer tous les NFTs d'une collection.
  • Ces approbations sont standard pour les DApps (par exemple, Uniswap a besoin d'une approbation pour échanger des tokens), mais les attaquants les exploitent de manière malveillante.
• Comment les attaquants obtiennent l'approbation :
  • Invitations trompeuses : Un site de phishing ou un DApp compromis invite l'utilisateur à signer une transaction étiquetée comme "connexion de portefeuille", "échange de jetons" ou "réclamation de NFT". La transaction appelle en fait approve ou setApprovalForAll pour l'adresse de l'attaquant.
  • Approbations illimitées : Les attaquants demandent souvent des autorisations de jetons illimitées (par exemple, uint256.max) ou setApprovalForAll(true), leur donnant un contrôle total sur les jetons ou NFTs de l'utilisateur.
  • Signature aveugle : Certaines DApps nécessitent la signature de données opaques, rendant difficile la détection des approbations malveillantes. Même avec des portefeuilles matériels comme Ledger, les détails affichés peuvent sembler bénins (par exemple, « Approuver le Token ») mais cacher l'intention de l'attaquant.
• Exploitation :
  • Vol immédiat : L'attaquant utilise l'approbation pour transférer des tokens/NFTs vers son portefeuille immédiatement après la transaction.
  • Vol différé : L'attaquant attend (parfois des semaines ou des mois) pour vider les actifs, réduisant ainsi les soupçons. Par exemple, un attaquant avec setApprovalForAll peut transférer des NFTs quand il le souhaite.
  • Attaques de balayage : Les drainer comme Angel Drainer scannent les approbations à travers plusieurs portefeuilles et les drainent en masse lors de pompes de marché ou de largages de NFT de grande valeur.

Exemples de siphonneurs de portefeuille / approbations malveillantes
L'escroquerie Monkey Drainer, active principalement en 2022 et début 2023, était un ensemble d'outils de phishing notoire « drainer-as-a-service » responsable du vol de millions en crypto (y compris des NFT) à travers des sites web trompeurs et des contrats intelligents malveillants. Contrairement au phishing traditionnel, qui repose sur la collecte des phrases de récupération ou des mots de passe des utilisateurs, Monkey Drainer fonctionnait par le biais de signatures de transaction malveillantes et d'abus de contrats intelligents, permettant aux attaquants d'extraire des tokens et des NFT sans compromettre directement les identifiants. En trompant les utilisateurs pour qu'ils signent des approbations dangereuses sur la chaîne, Monkey Drainer a permis le vol de plus de 4,3 millions de dollars à travers des centaines de portefeuilles avant sa fermeture début 2023.

Figure 7 : Le célèbre détective on-chain ZachXBT découvre des escroqueries Monkey Drainer
Source : Twitter (@zachxbt)

Le kit était populaire parmi les attaquants peu qualifiés et fortement commercialisé dans les communautés Telegram souterraines et sur le dark web. Il permettait aux affiliés de cloner de faux sites de mint, d'usurper l'identité de projets réels et de configurer le backend pour transférer des transactions signées à un contrat de drainage centralisé. Ces contrats étaient conçus pour exploiter les autorisations de token, comptant sur les utilisateurs pour signer à leur insu des messages qui accordaient à l'adresse de l'attaquant un accès aux actifs via des fonctions telles que setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).

Notamment, le flux d'interaction évitait le phishing direct : les victimes n'étaient pas invitées à fournir leurs clés privées ou phrases de récupération. Au lieu de cela, elles interagissaient avec des dApps apparemment légitimes, souvent sur des pages de minting avec des compte à rebours ou un branding sur-hypé. Une fois connectés, les utilisateurs se voyaient demander de signer une transaction qu'ils ne comprenaient pas complètement, souvent masquée par un langage d'approbation générique ou une obfuscation de l'interface utilisateur du portefeuille. Ces signatures ne transféraient pas directement des fonds, mais autorisaient l'attaquant à le faire à tout moment. Avec les permissions accordées, le contrat de drainage pouvait exécuter des retraits en lot dans un seul bloc.

Un élément caractéristique de la méthode Monkey Drainer était son exécution retardée : les actifs volés étaient souvent drainés des heures ou des jours plus tard, afin d'éviter les soupçons et de maximiser le rendement. Cela la rendait particulièrement efficace contre les utilisateurs ayant de grands portefeuilles ou une activité de trading active, dont les approbations se fondaient dans des modèles d'utilisation normale. Parmi les victimes de haut profil, on trouvait des collectionneurs de NFT qui ont perdu des actifs de projets tels que CloneX, Bored Apes et Azuki.

Bien que Monkey Drainer ait cessé ses opérations en 2023, apparemment pour "se faire discret", l'ère des siphonneurs de portefeuilles continue d'évoluer, représentant une menace persistante pour les utilisateurs qui méconnaissent ou sous-estiment le pouvoir d'une approbation on-chain.

3.3 Malware & Exploits de Dispositifs

Enfin, les « logiciels malveillants et les exploits de dispositifs » se réfèrent à un large éventail d'attaques polyvalentes qui englobent divers vecteurs de livraison, tous visant à compromettre l'ordinateur, le téléphone ou le navigateur d'un utilisateur, généralement par le biais de logiciels malveillants installés par tromperie. L'objectif est généralement de voler des informations sensibles (par exemple, des phrases de récupération, des clés privées), d'intercepter les interactions de portefeuille ou de donner à l'attaquant un contrôle à distance sur le dispositif de la victime. Dans le crypto, ces attaques commencent souvent par l'ingénierie sociale, comme une fausse offre d'emploi, une mise à jour d'application fictive ou un fichier envoyé via Discord, mais escaladent rapidement en une compromission complète du système.

Les logiciels malveillants existent depuis les débuts de l'informatique personnelle. Dans des contextes traditionnels, ils étaient utilisés pour voler des informations de carte de crédit, récolter des identifiants ou détourner des systèmes pour du spam ou des ransomwares. Alors que le crypto gagnait en traction, les attaquants ont changé de stratégie : au lieu de cibler les identifiants pour la banque en ligne (qui peuvent être annulés), ils visent désormais à voler des actifs crypto irréversibles.

Comment ces attaques commencent… L'angle de l'ingénierie sociale

La plupart des logiciels malveillants ne se propagent pas au hasard : ils nécessitent que la victime soit trompée pour l'exécuter. C'est là que l'ingénierie sociale entre en jeu.

Méthodes de livraison courantes :

• Offres d'emploi falsifiées : La victime postule à un faux emploi Web3, reçoit un "test technique" ou un "lien d'entretien" contenant un logiciel malveillant.
• Liens Discord ou Telegram : Envoyés en tant qu'"outils de giveaway", "captures d'écran" ou faux fichiers de support.
• Pièces jointes : CV, livre blanc ou formats de facture (PDF, .docx, .exe) contenant du code malveillant.
• Mises à jour fausses : fenêtres contextuelles ou sites falsifiés proposant "dernière version de MetaMask/Phantom".
• Téléchargements à l'insu : Il suffit de visiter un site pour déclencher un chargement en arrière-plan, notamment sur les navigateurs obsolètes.

Le fil conducteur : L'attaquant crée un contexte crédible qui convainc l'utilisateur de cliquer, de télécharger ou d'ouvrir quelque chose de dangereux.

Types de logiciels malveillants courants dans les exploits Crypto

• Keyloggers : Enregistrent chaque frappe, y compris les phrases de récupération, les mots de passe et les codes PIN. Particulièrement dangereux si l'utilisateur saisit sa phrase de récupération dans un éditeur de texte, un login d'échange ou un champ de récupération de portefeuille.
• Les voleurs de presse-papiers : surveillent les adresses de portefeuille copiées et les remplacent par l'adresse de l'attaquant lors du collage. Les victimes ne s'en rendent souvent pas compte et envoient des fonds, pensant avoir collé leur propre adresse, mais elle a déjà été échangée.
• Chevaux de Troie d'accès à distance (RAT) : Donnent à l'attaquant un contrôle total sur l'appareil de la victime. Cela inclut la lecture de fichiers, la surveillance des écrans, la capture des sessions de navigateur et même l'exportation des phrases de récupération directement à partir d'applications de portefeuille comme Exodus ou de portefeuilles basés sur le navigateur.
• Portefeuilles ou applications frauduleux : ressemblent à des portefeuilles légitimes mais sont préchargés avec du code malveillant. Courants sur les sites APK Android ou les magasins d'extensions Chrome. Certains semblent fonctionnels jusqu'à ce que vous envoyiez des fonds ou restauriez une clé, moment où les fonds sont exfiltrés.
• Extensions de navigateur malveillantes : compromettent ou imitent de vraies extensions crypto pour surveiller l'activité, injecter des charges utiles malveillantes ou inciter à de fausses demandes de signature. Elles demandent souvent des permissions étendues sous le prétexte de « l'intégration de portefeuille ».
• Infrastructure Man-in-the-Middle (MITM) : Le malware met en place un proxy ou un détournement DNS pour intercepter et manipuler le trafic entre vous et le web, y compris l'échange d'adresses ou le rediriger des transactions signées.

Exemple : L'escroquerie à l'emploi Axie Infinity de 2022

L'escroquerie à l'emploi Axie Infinity de 2022, qui a conduit au piratage massif du Ronin Bridge, est un exemple parfait d'un logiciel malveillant et d'une exploitation de dispositif dans l'espace crypto, alimenté par une ingénierie sociale sophistiquée. Cette attaque, attribuée au groupe Lazarus soutenu par l'État nord-coréen, a entraîné le vol d'environ 620 millions de dollars en crypto-monnaie, en faisant l'un des plus grands piratages de finance décentralisée (DeFi) à ce jour.

Figure 8 : L'exploitation d'Axie Infinity a fait son apparition dans les médias TradFi
Source : Bloomberg TV

Le piratage était une opération en plusieurs étapes combinant l'ingénierie sociale, le déploiement de logiciels malveillants et l'exploitation des vulnérabilités de l'infrastructure blockchain.

Les hackers, se faisant passer pour des recruteurs d'une entreprise fictive, ont ciblé les employés de Sky Mavis via LinkedIn : Sky Mavis est la société derrière le Ronin Network, une sidechain liée à Ethereum qui alimente Axie Infinity, un jeu blockchain populaire de type play-to-earn. À l'époque, Ronin et Axie Infinity avaient des capitalisations boursières respectives d'environ 300 millions de dollars et 4 milliards de dollars.

Plusieurs employés ont été approchés, mais un ingénieur senior est devenu la cible principale avec qui les attaquants ont mené plusieurs tours de faux entretiens d'embauche pour établir la confiance, offrant un package de rémunération extrêmement généreux pour attirer l'ingénieur. Les attaquants ont envoyé un document PDF, déguisé en offre d'emploi formelle, à l'ingénieur. L'ingénieur, croyant qu'il faisait partie du processus d'embauche, a téléchargé et ouvert le fichier sur un ordinateur de l'entreprise. Le PDF contenait un RAT qui a infecté le système de l'ingénieur dès son ouverture, donnant aux hackers un accès aux systèmes internes de Sky Mavis, probablement par le biais d'une escalade de privilèges ou d'un mouvement latéral au sein du réseau. Cette compromission a fourni un point d'appui pour cibler l'infrastructure du réseau Ronin.

La mécanique du piratage qui a continué à exploiter le pont Ronin et le DAO Axie dépasse le cadre de cet article de recherche, cependant, cette exploitation a abouti à un vol de 620 millions de dollars (173 600 ETH et 25,5 millions USDC) avec seulement 30 millions de dollars récupérés.

4. Comment se protéger

Les tentatives d'exploitation deviennent de plus en plus sophistiquées, mais reposent toujours sur des signes révélateurs. Les indicateurs d'alerte incluent :

• "Importez votre portefeuille pour réclamer X" : Aucun service légitime ne vous demandera jamais votre phrase secrète.
• Messages non sollicités : En particulier ceux offrant du soutien, de l'argent ou de l'aide concernant un problème que vous n'avez pas demandé.
• Domaines légèrement mal orthographiés : par exemple, metamask.io contre metarnask.io.
• Google Ads : Les liens de phishing apparaissent souvent au-dessus du vrai lien dans les résultats de recherche.
• Offres trop belles pour être vraies : Comme les promotions « réclamez 5 ETH » ou « doublez vos pièces ».
• Urgence ou tactiques de peur : « Votre compte a été verrouillé », « Réclamez maintenant ou perdez des fonds ».
• Approbations de jetons illimitées : Les utilisateurs doivent définir eux-mêmes les montants des jetons.
• Demandes de signature aveugle : charges utiles Hex sans explication lisible.
• Contrats non vérifiés ou obscurs : Si un token ou une dApp est nouveau, vérifiez ce que vous approuvez.
• Alerte UI urgente : Tactiques de pression classiques comme « Vous devez signer cela maintenant ou passer à côté ».
• Pop-ups de signature MetaMask : Surtout avec des charges utiles peu claires, des transactions sans gaz, ou un mélange d'appels de fonction que vous ne comprenez pas.

Règles supplémentaires d'OpSec (sécurité opérationnelle) :

• Règles d'or
  • Ne partagez jamais votre phrase de récupération avec qui que ce soit, pour quelque raison que ce soit.
  • Ajoutez les sites officiels à vos favoris : naviguez toujours directement. N'utilisez jamais les moteurs de recherche pour les portefeuilles ou les échanges.
  • Ne cliquez pas sur des jetons airdrop aléatoires : Surtout si vous ne vous êtes pas inscrit.
  • Évitez les DMs non sollicités : Les projets légitimes DM rarement en premier… (Sauf quand ils le font)
  • Utilisez des portefeuilles matériels : Ils réduisent le risque de signature à l'aveugle et empêchent l'exposition des clés.
  • Activez les outils de protection contre le phishing : utilisez des extensions comme PhishFort, Revoke.cash et des bloqueurs de publicités.
  • Utilisez des explorateurs en lecture seule : Des outils comme Etherscan Token Approvals ou Revoke.cash montrent quelles autorisations votre portefeuille a.
  • Utilisez des portefeuilles temporaires : Créez un nouveau portefeuille avec peu ou pas de fonds pour tester d'abord les mints ou les liens. Cela minimisera les pertes.
  • Segmentez vos actifs : Ne mettez pas tous vos actifs à un seul endroit.
• Pratiques Avancées Pour L'Utilisateur Crypto Expérimenté
  • Utilisez un appareil ou un profil de navigateur dédié pour les activités crypto - de plus, vous pouvez avoir un appareil dédié pour ouvrir des liens et des messages directs.
  • Vérifiez les étiquettes d'avertissement des jetons d'Etherscan : De nombreux jetons frauduleux sont signalés.
  • Cross-référencer les adresses de contrat avec les annonces officielles du projet.
  • Inspectez les URL avec attention : En particulier dans les e-mails et les discussions, les fautes d'orthographe subtiles sont courantes. De nombreuses applications de messagerie et bien sûr des sites web permettent le hyperlien - cela permet à quelqu'un de faire ceci : www.google.com(c'est bon, vous pouvez cliquer sur le lien).
  • Faites attention à ce que vous signez : décodez toujours les transactions (par exemple via MetaMask, Rabby ou un simulateur) avant de confirmer.

5. Mot final

La plupart des utilisateurs considèrent les exploits dans le crypto comme quelque chose de technique et d'inévitable, en particulier ceux qui sont nouveaux dans l'industrie. Bien que cela puisse être vrai pour les méthodes d'attaque complexes, il arrive souvent que la première étape cible l'individu de manière non technique, rendant le reste de l'exploitation évitable.

La grande majorité des pertes personnelles dans cet espace ne proviennent pas d'un nouveau bug de type zero-day ou d'un protocole obscur, mais plutôt du fait que les gens signent des choses qu'ils n'ont pas lues ou importent des portefeuilles dans des applications fausses, ou font confiance à un message privé qui semble juste suffisamment plausible. Les outils peuvent être nouveaux, mais les tactiques sont aussi anciennes que le temps : tromperie, urgence, distraction.

Les gens viennent au crypto pour l'auto-garde et la nature sans autorisation, mais les utilisateurs doivent se rappeler qu'ici, les enjeux sont plus élevés ; dans la finance traditionnelle, vous vous faites arnaquer et vous appelez la banque. Dans le crypto, vous vous faites arnaquer et c'est la fin de l'histoire.

Avertissement :

1. Cet article est repris de [ Presto Research]. Tous les droits d'auteur appartiennent à l'auteur original [Recherche Presto] . Si vous avez des objections à cette réimpression, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Avertissement de responsabilité : Les vues et opinions exprimées dans cet article sont uniquement celles de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.