Au cours des derniers mois, plusieurs détenteurs de Portefeuille Tangem ont été confrontés à un problème étrange. Certains utilisateurs ont repéré des transactions de quelques USDT sur l'explorateur de réseau TRON, qu'ils n'avaient pas exécutées. En examinant l'historique, on pourrait penser que les utilisateurs ont effectué ces transactions et que les fonds ont été envoyés vers des portefeuilles leur appartenant.
Après un examen plus approfondi, il s'avérerait que l'adresse vers laquelle la crypto-monnaie a prétendument été envoyée était un portefeuille différent, bien que très similaire à celui de l'utilisateur. Il s'est également avéré qu'il ne s'agissait pas d'USDT mais de quelque chose appelé UDST. Examinons comment fonctionne cette arnaque, d'où proviennent les transactions et pourquoi vous devriez (ou ne devriez pas) être préoccupé.
L'essence de l'arnaque
Au cœur de cette arnaque se trouve une attaque de phishing. Cependant, ici, les escrocs utilisent de fausses transactions au lieu de faux emails. Ils ciblent les utilisateurs qui transfèrent régulièrement des crypto-monnaies vers les mêmes portefeuilles. Lorsqu'ils font cela, les gens copient souvent leur adresse à partir de leur historique de transfert.
Si les escrocs peuvent ajouter leurs adresses à l'historique, il y a un risque qu'une victime imprudente la copie et leur envoie son argent. L'adresse du portefeuille de l'escroc a généralement les mêmes premiers caractères que l'adresse réelle. Cela parce que les attaquants misent sur le fait que de nombreux utilisateurs ne vérifient que les premiers caractères.
Les escrocs opèrent de deux manières. La première consiste à introduire une fausse transaction dans l'historique des adresses et à attendre que l'utilisateur commette une erreur. La seconde consiste à effectuer plusieurs transactions « réelles » vers un portefeuille similaire, puis à pousser plusieurs transactions vers des adresses « aléatoires » dans l'explorateur de blockchain, donnant l'impression que le portefeuille a été compromis.
La victime peut alors paniquer et copier par erreur « son » adresse de la transaction « réelle » et transférer tous ses actifs vers celle-ci, croyant effectuer elle-même le transfert.
Comment les transactions apparaissent dans les explorateurs
Tout est lié aux normes utilisées par les réseaux compatibles avec la Machine virtuelle Ethereum (EVM) et, plus précisément, à la façon dont les historiques de transactions sont créés et lus par la suite par les explorateurs de blockchain.
Lors du transfert de fonds en ligne, un événement est créé et affiché dans l'explorateur de blockchain. Cet événement est généré même si la valeur des actifs transférés est nulle. Et puisque rien n'est transféré, l'expéditeur n'a pas besoin de consentir au contrat intelligent pour n'envoyer rien depuis son compte.
Imaginez que votre ami vous rende visite et, après avoir découvert que vous n'êtes pas là, laisse un mot disant « Je ne vous ai rien emprunté, Pierre ».
Maintenant que nous avons examiné comment les transactions apparaissent dans l'explorateur de blockchain, parlons de ce que font exactement les attaquants.
Un exemple
Pour commencer, ils créent un jeton d'arnaque avec une valeur nulle et lui donnent un nom similaire à celui d'un véritable jeton. UDST en est un exemple :
Ils surveillent ensuite le réseau cible et identifient les utilisateurs qui transfèrent régulièrement des crypto-monnaies vers les mêmes adresses. Lorsque la victime est choisie, l'escroc crée un portefeuille crypto avec une adresse qui partage les premiers et les derniers caractères avec l'adresse cible vers laquelle l'utilisateur transfère souvent de l'argent.
Le contrat intelligent malveillant déclenche alors un transfert de 10 UDST de l'adresse de l'utilisateur vers le portefeuille de l'escroc, et la transaction apparaît dans l'explorateur de blockchain de la victime. Parfois, ces transferts sont créés immédiatement après que l'utilisateur envoie de vrais USDT, de sorte que les transactions apparaissent côte à côte dans l'historique.
Existe-t-il d'autres stratagèmes similaires ?
L'attaque que nous avons décrite ici est une évolution de l'arnaque du « Transfert zéro » (TransferFrom Zero Transfer scam) qui a culminé en 2022. Les escrocs ont exploité la même « faille » dans la logique du réseau, mais les mécaniques étaient différentes. Ils n'utilisaient pas de jetons factices ; au lieu de cela, ils utilisaient la fonction TransferFrom, qui est requise pour faire fonctionner les contrats intelligents et permet le transfert automatique de fonds.
Les fraudeurs effectuaient simplement des transactions sans valeur du portefeuille de la victime vers le leur. En conséquence, la liste des transactions comprenait un transfert d'une valeur nulle de véritables USDT. Contrairement à l'arnaque que nous avons décrite, l'arnaque du « Transfert zéro » était moins coûteuse car elle ne nécessitait pas de commissions réseau ou la création de jetons et de contrats intelligents frauduleux.
Néanmoins, une transaction sans valeur est beaucoup plus facile à repérer dans l'historique principal des transactions d'un utilisateur. Cela ne veut pas dire que cela n'a pas fonctionné, bien sûr. Prenez par exemple l'histoire de l'utilisateur du forum Bitcoin qui a perdu 100 000 USD après avoir copié une adresse de portefeuille d'une transaction de 0 BNB.
Approches alternatives
Les escrocs n'essaient pas toujours de vous faire envoyer des crypto-monnaies vers leurs portefeuilles. Il est facile d'imaginer une version d'une attaque en plusieurs étapes qui cible une seed phrase.
L'utilisateur serait d'abord bombardé de fausses transactions, puis recevrait, au nom des développeurs d'un portefeuille crypto ou d'une DEX, un email concernant le piratage, prétendument après une fuite. Pour protéger ses actifs, la victime doit suivre un lien et saisir sa seed phrase dans un formulaire.
Une version plus complexe consisterait à envoyer l'utilisateur vers un faux site web en utilisant une attaque par usurpation d'adresse IP (DNS spoofing) ou une attaque de l'homme du milieu (MITM), après quoi l'utilisateur se précipiterait, paniqué, sur le site du portefeuille crypto afin de « pouvoir au moins faire quelque chose ».
Comment rester en sécurité
Comme pour le hameçonnage, vous pouvez vous protéger de ce type d'attaques en suivant quelques règles simples.
Premièrement, vérifiez toujours l'adresse (en entier) du destinataire lors d'une transaction. Si vous transférez régulièrement des crypto-monnaies vers les mêmes portefeuilles, enregistrez les adresses dans un gestionnaire de mots de passe et copiez-les à partir de là à chaque fois.
Deuxièmement, ne paniquez pas si vous remarquez des transferts sortants que vous n'avez pas effectués. Assurez-vous de ne pas suivre les liens provenant d'emails. Veillez d'abord à étudier attentivement les détails de la transaction, puis agissez. La panique est votre pire ennemie.
Si vous êtes un utilisateur du Portefeuille Tangem, vous pouvez être rassuré. Sans votre carte, où la clé privée est stockée (et reste sans être partagée nulle part), personne ne peut rien faire avec vos actifs.