Un hacker a volé plus de 440 000 $ en USDC après qu’un propriétaire de portefeuille a accidentellement signé une signature malveillante de « permis », selon un avertissement publié lundi par la plateforme anti-phishing Scam Sniffer.
L’incident intervient dans un contexte d’augmentation marquée des dégâts causés par des attaques de phishing. Rien qu’en novembre, environ 7,77 millions de dollars ont été retirés à plus de 6 000 victimes — une augmentation de 137 % par rapport à octobre, bien que le nombre de victimes ait diminué de 42 %.
Selon le rapport, la « chasse à la baleine » a continué d’augmenter, le plus grand cas atteignant 1,22 million de dollars à partir d’une seule signature de permis, montrant que, bien que le nombre de cas ait diminué, le niveau de dégâts par victime a considérablement augmenté.
Qu’est-ce qu’une arnaque au permis ?
Les arnaques de permis exploitent la pratique consistant à tromper les utilisateurs pour qu’ils signent une transaction qui semble légitime mais qui donne en réalité à l’attaquant le droit de dépenser leur argent. De nombreuses dApps malveillantes déguisent du contenu, usurpent les noms de contrats ou créent des demandes de signature qui ressemblent à des opérations courantes.
Si l’utilisateur ne vérifie pas une seconde fois, cette signature donne à l’attaquant l’autorisation complète d’utiliser le jeton ERC-20 dans le portefeuille. Une fois licenciés, ils vident généralement leurs fonds immédiatement.
Cette méthode exploite la fonction permit d’Ethereum — conçue pour faciliter l’autorisation de dépenses pour des applications fiables. Cependant, la commodité devient un défaut lorsque ce droit tombe entre de mauvaises mains.
Une nouvelle initiative inter-agences a été lancée pour démanteler les réseaux internationaux de fraude cryptographique, en particulier les modèles de « pig butchering » qui ont causé des pertes de milliards de dollars ces dernières années. De nombreuses agences telles que le DOJ, le FBI, les services secrets et le département du Trésor américain coordonneront pour réprimer ces groupes criminels.
Pourquoi l’arnaque au permis est-il difficile à reconnaître ?
Tara Annison, responsable produit chez Twinstake, a déclaré que le danger était qu’un attaquant pourrait retirer des fonds lors d’une seule transaction ou attendre que la victime charge plus de jetons dans le portefeuille — à condition qu’il ait défini une période de validité de signature suffisamment longue.
« Le succès de ce type d’arnaque réside dans le fait que les utilisateurs signent quelque chose qu’ils ne comprennent pas. Elle exploite la subjectivité et l’impulsivité humaine », a-t-elle déclaré.
Elle a aussi dit que ce n’est pas un cas exceptionnel. De nombreuses attaques de phishing à forte valeur se font souvent passer pour des airdrops gratuits, de faux sites de projets ou de fausses alertes de sécurité pour attirer les utilisateurs à connecter des portefeuilles et à signer des transactions.
Les portefeuilles crypto augmentent les alertes — mais pas assez
Des portefeuilles comme MetaMask ont ajouté des alertes suspectes sur les sites web et déplacé les données de transactions vers un format plus compréhensible. D’autres portefeuilles mettent également en avant des opérations à haut risque. Cependant, l’attaquant changeait sans cesse de tactique.
Harry Donnelly, fondateur de Circuit, avertit que les attaques basées sur les permissions sont « assez courantes » et que les utilisateurs doivent vérifier leurs adresses d’envoi, les contrats associés, et surtout les limites de licence — dans de nombreux cas, les acteurs malveillants demandent des autorisations de dépenses illimitées.
Comment se protéger
Annison souligne que vérifier à nouveau ce que vous allez signer reste la ligne de défense la plus importante :
- Comprendre quelles actions auront lieu après la signature
- Vérifiez si la fonction appelée est correcte pour l’opération souhaitée
- Ne signez pas simplement parce que le dapp le demande ou en promettant de recevoir des récompenses
De nombreux portefeuilles ont amélioré l’interface pour la rendre plus facile à comprendre par les utilisateurs, mais c’est toujours aux utilisateurs eux-mêmes de rester vigilants.
Selon Martin Derka, cofondateur de Zircuit Finance, la possibilité de récupérer l’argent est « presque nulle ».
Il a expliqué que dans les attaques de phishing, la victime ne sait pas qui est l’autre personne, qu’il n’y a pas de point de contact, et que l’attaquant n’a toujours qu’un seul objectif : prendre l’argent et disparaître. « Une fois l’argent parti, il est parti », a-t-il dit.
Thach Sanh
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
