Les arnaques sociales ciblent les utilisateurs d'une certaine plateforme de trading, suscitant un large suivi.

Ces dernières années, les attaques d'ingénierie sociale dans le domaine des actifs cryptographiques sont devenues une menace majeure pour la sécurité des fonds des utilisateurs. Depuis 2025, des événements de fraude par ingénierie sociale ciblant les utilisateurs d'une certaine plateforme de trading bien connue ont refait surface, suscitant de larges discussions au sein de la communauté. Ces événements ne sont pas des cas isolés, mais présentent des caractéristiques de durabilité et d'organisation.

Le 15 mai, la plateforme d'échange a publié un communiqué confirmant les précédentes spéculations concernant l'existence de "traîtres" au sein de la plateforme. Le ministère de la Justice des États-Unis a déjà lancé une enquête sur cet incident de fuite de données.

Cet article rassemblera les informations fournies par plusieurs chercheurs en sécurité et victimes pour révéler les principales méthodes d'escroquerie des fraudeurs, et explorera les stratégies d'intervention du point de vue de la plateforme et des utilisateurs.

Analyse historique

Le détective en chaîne Zach a indiqué dans sa mise à jour du 7 mai : "Au cours de la seule semaine dernière, plus de 45 millions de dollars ont été volés aux utilisateurs de cette plateforme en raison d'escroqueries d'ingénierie sociale."

Au cours de l'année écoulée, Zach a plusieurs fois révélé des cas de vols d'utilisateurs sur cette plateforme, certains victimes ayant perdu jusqu'à plusieurs millions de dollars. Une enquête détaillée qu'il a publiée en février 2025 montre que, entre décembre 2024 et janvier 2025, les pertes financières causées par de tels eyewash ont déjà dépassé 65 millions de dollars. La plateforme fait face à une grave crise de "fraude sociale", ces attaques continuant à porter atteinte à la sécurité des actifs des utilisateurs à hauteur de 300 millions de dollars par an.

Zach a également souligné :

• Les groupes qui dirigent ce genre d'eyewash se divisent principalement en deux catégories : d'une part, des attaquants de bas niveau provenant de cercles spécifiques, d'autre part, des organisations criminelles en ligne situées en Inde ;
• Les groupes de fraude ciblent principalement les utilisateurs américains, avec des méthodes d'attaque standardisées et des scripts bien rodés.
• Le montant des pertes réelles peut être bien supérieur aux statistiques visibles, car il n'inclut pas des informations non publiques telles que les tickets de service client et les rapports à la police qui ne peuvent pas être obtenus.

eyewash

Dans cet incident, le système technique de la plateforme n'a pas été compromis, les escrocs ont utilisé les droits des employés internes pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. L'objectif final des escrocs est d'utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à effectuer des virements.

Ce type d'attaque modifie les méthodes de phishing traditionnelles en "filet", en se tournant vers des "frappes précises", ce qui en fait une escroquerie sociale "sur mesure". Le parcours typique de l'infraction est le suivant :

1. Se faire passer pour le service client officiel et contacter les utilisateurs

Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client de la plateforme, affirmant que le "compte de l'utilisateur a subi un accès illégal" ou "une anomalie de retrait a été détectée", créant une atmosphère d'urgence. Ils envoient ensuite des e-mails ou des SMS de phishing réalistes, contenant de faux numéros de dossier ou des liens de "processus de récupération", guidant l'utilisateur dans ses actions. Ces liens peuvent renvoyer vers une interface clonée de la plateforme, voire envoyer des e-mails semblant provenir d'un domaine officiel, certaines e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.

2. inciter les utilisateurs à télécharger un portefeuille auto-hébergé

Les escrocs, sous prétexte de "protéger les actifs", incitent les utilisateurs à transférer des fonds vers un "portefeuille sécurisé", les aidant à installer un portefeuille auto-hébergé et les guidant pour transférer les actifs initialement déposés sur la plateforme vers le nouveau portefeuille créé.

3. Fournir des mots de passe mnémotechniques faux

Contrairement aux "escroqueries pour obtenir des mots de passe mnémotechniques" traditionnelles, les escrocs fournissent directement un ensemble de mots de passe mnémotechniques qu'ils ont générés eux-mêmes, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".

4. Vol de fonds

Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service client", tombent facilement dans le piège. Elles pensent que le nouveau portefeuille "fourni par l'officiel" est plus sûr que l'ancien portefeuille "suspecté d'avoir été piraté". Une fois que les fonds sont transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les déplacer.

De plus, certains e-mails de phishing prétendent que "en raison d'un jugement dans une action collective, la plateforme va migrer complètement vers des bougies à longue mèche", et demandent aux utilisateurs de compléter la migration des actifs dans un délai court. Sous la pression du temps et l'incitation psychologique d'une "directive officielle", les utilisateurs sont plus enclins à coopérer.

Selon des chercheurs en sécurité, ces attaques sont souvent organisées et planifiées de manière structurée.

• Outils de fraude améliorés : les escrocs utilisent un système PBX pour falsifier les numéros d'appel et simuler des appels du service client officiel. Lors de l'envoi d'emails de phishing, ils utilisent des outils spécifiques pour imiter les adresses email officielles, accompagnés d'un "guide de récupération de compte" pour inciter au transfert.
• Cible précise : les escrocs s'appuient sur des données utilisateur volées achetées sur des canaux illégaux, ciblant principalement des utilisateurs dans des zones spécifiques, et peuvent même utiliser des outils d'IA pour traiter les données volées, segmenter et réorganiser les numéros de téléphone, générer des fichiers en masse, puis envoyer des SMS frauduleux via des logiciels de piratage.
• Processus d'escroquerie cohérent : des appels téléphoniques, des SMS aux e-mails, les chemins de fraude sont généralement sans couture. Les expressions de phishing courantes incluent "demande de retrait reçue sur le compte", "mot de passe réinitialisé", "connexion anormale au compte", etc., incitant continuellement la victime à effectuer une "vérification de sécurité" jusqu'à ce que le transfert de portefeuille soit effectué.

Analyse on-chain

Grâce au système de lutte contre le blanchiment d'argent et de traçage sur la chaîne, une analyse de certaines adresses de fraudeurs connus a révélé que ces fraudeurs possédaient de solides compétences en matière d'opérations sur la chaîne, avec les principales caractéristiques suivantes :

• Les cibles des attaques couvrent divers actifs, avec une période d'activité concentrée entre décembre 2024 et mai 2025, les actifs cibles étant principalement le BTC et l'ETH. Le BTC est actuellement la principale cible de l'escroquerie, plusieurs adresses réalisant des gains uniques s'élevant à plusieurs centaines de BTC, pour une valeur unitaire de plusieurs millions de dollars.

• Une fois les fonds obtenus, les escrocs utilisent rapidement un processus de blanchiment pour échanger et transférer les actifs, le modèle principal est le suivant :

  • Les actifs de type ETH sont souvent échangés rapidement contre des stablecoins via un DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, une partie des actifs entrant sur des plateformes centralisées;

  • BTC est principalement transféré vers Ethereum via un pont inter-chaînes, puis échangé contre des stablecoins, afin d'éviter les risques de traçage.

• Plusieurs adresses de fraude sont toujours en état de "repos" après avoir reçu des stablecoins et n'ont pas encore été transférées.

Pour éviter d'interagir avec des adresses suspectes et de faire face à un risque de gel des actifs, il est conseillé aux utilisateurs d'utiliser des outils d'analyse de la chaîne pour détecter les risques associés à l'adresse cible avant de procéder à une transaction, afin d'éviter efficacement les menaces potentielles.

Mesures d'adaptation

plateforme

Les principales mesures de sécurité actuelles sont davantage des protections au niveau "technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, frappant directement les failles psychologiques et comportementales des utilisateurs. Par conséquent, il est recommandé que la plateforme intègre l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité, afin d'établir une ligne de défense sécuritaire "axée sur l'humain".

• Envoi régulier de contenu éducatif sur la fraude : augmenter la capacité des utilisateurs à se défendre contre le phishing via des fenêtres contextuelles de l'application, des interfaces de confirmation de transaction, des e-mails, etc.

• Optimiser le modèle de gestion des risques, introduire la "détection interactive des comportements anormaux": la plupart des escroqueries sociales incitent les utilisateurs à effectuer une série d'opérations dans un court laps de temps. La plateforme doit identifier les combinaisons d'interaction suspectes sur la base d'un modèle de chaîne de comportement, déclenchant une période de réflexion ou un mécanisme de révision manuelle.

• Standardiser les canaux de service client et les mécanismes de vérification : les escrocs se font souvent passer pour des agents de service client pour tromper les utilisateurs, la plateforme doit unifier les modèles d'appels, de SMS et d'e-mails, et fournir un "point d'entrée de vérification du service client", en précisant un canal de communication officiel unique pour éviter toute confusion.

utilisateur

• Mettre en œuvre une stratégie d'isolement des identités : éviter l'utilisation du même e-mail et du même numéro de téléphone sur plusieurs plateformes pour réduire le risque de responsabilité conjointe, et utiliser des outils de vérification des fuites pour vérifier régulièrement si l'e-mail a été compromis.

• Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.

• Suivre les informations de sécurité : par le biais d'entreprises de sécurité, de médias, de plateformes de trading, etc., se tenir informé des dernières tendances en matière de techniques d'attaque et rester vigilant. Actuellement, plusieurs agences de sécurité développent des plateformes d'entraînement au phishing Web3, qui simuleront diverses techniques de phishing typiques, permettant aux utilisateurs d'améliorer leurs capacités de reconnaissance et de réponse dans un environnement sans risque.

• Attention aux risques hors ligne et à la protection de la vie privée : la divulgation d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.

Depuis le début de cette année, les professionnels/utilisateurs de la cryptomonnaie ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées contiennent des informations personnelles détaillées, les utilisateurs concernés doivent également rester vigilants en ligne et faire attention à leur sécurité.

En résumé, restez sceptique et vérifiez en continu. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier indépendamment par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.

Résumé

Cet incident met à nouveau en lumière le fait qu'en dépit des techniques de phishing de plus en plus sophistiquées, l'industrie présente encore des lacunes évidentes en matière de protection des données clients et des actifs. Il est préoccupant que, même si les postes pertinents sur la plateforme n'ont pas d'autorité financière, l'absence de conscience et de capacité de sécurité suffisantes pourrait entraîner de graves conséquences en cas de divulgation accidentelle ou de corruption. Avec l'expansion continue de la plateforme, la complexité du contrôle de la sécurité des personnels augmente, devenant l'un des risques les plus difficiles à surmonter dans l'industrie. Ainsi, tout en renforçant les mécanismes de sécurité sur la chaîne, la plateforme doit également construire de manière systématique un "système de défense contre le phishing" qui couvre le personnel interne et les services externalisés, intégrant le risque humain dans la stratégie de sécurité globale.

De plus, une fois qu'une attaque est identifiée comme n'étant pas un incident isolé, mais plutôt une menace continue organisée et à grande échelle, la plateforme doit réagir immédiatement, en vérifiant proactivement les vulnérabilités potentielles, en avertissant les utilisateurs de se protéger et en contrôlant l'étendue des dommages. Ce n'est qu'avec une double réponse sur les plans technique et organisationnel que l'on pourra véritablement préserver la confiance et les limites dans un environnement de sécurité de plus en plus complexe.