Le Crypto est auto-géré par conception. C'est la fonctionnalité. Mais cette caractéristique fondamentale, qui est au cœur des valeurs de l'industrie, peut souvent faire de vous l'utilisateur un point de défaillance unique. Dans de nombreux cas d'individus perdant leurs fonds en crypto, ce n'est pas un bug dans le protocole : c'est un clic. Un DM. Une approbation. Un moment de confiance ou de négligence à effectuer une tâche quotidienne apparemment non conséquente qui peut altérer le cours des expériences crypto d'une personne.
Ce rapport n'est pas un livre blanc technique ni une revue de la logique des contrats intelligents, mais plutôt un modèle de menace pour les individus. Une analyse de la manière dont les utilisateurs sont exploités en pratique, et ce qu'il faut faire à ce sujet. Le rapport se concentrera sur les exploitations au niveau personnel : phishing, approbations de portefeuille, ingénierie sociale, logiciels malveillants. Il couvrira également brièvement les risques au niveau des protocoles à la fin pour donner un aperçu du spectre des exploitations qui se produisent dans le crypto.
La nature permanente et irréversible des transactions qui se produisent dans des environnements sans autorisation, souvent sans l'avis d'intermédiaires, combinée au fait que les utilisateurs individuels sont responsables d'interagir avec des contreparties anonymes sur les mêmes appareils et navigateurs qui détiennent des actifs financiers, fait de la crypto un terrain de chasse unique pour les hackers et autres criminels. Ci-dessous se trouve une liste exhaustive des types d'exploits auxquels les individus peuvent être confrontés, mais les lecteurs doivent être conscients que, bien que cette liste couvre la majorité des exploits, elle n'est pas exhaustive. La liste peut être écrasante pour ceux qui ne sont pas familiers avec la crypto, mais une bonne partie de ces exploits sont des exploits "réguliers" qui se produisent depuis un certain temps à l'ère d'Internet et ne sont pas uniques à cette industrie. §3 couvrira quelques méthodes d'exploitation clés en détail.
Des attaques reposant sur la manipulation psychologique pour tromper les individus afin qu'ils compromettent leur sécurité.
Figure 1 : Les conséquences de l'ingénierie sociale peuvent être très graves
Source : Cointelegraph
Exploiter les infrastructures télécom ou les faiblesses au niveau des comptes pour contourner l'authentification.
Figure 2 : Un faux Tweet de la SEC via un échange de SIM
Source : Twitter
Compromettre l'appareil de l'utilisateur pour extraire l'accès au portefeuille ou manipuler les transactions (plus dans §3).
Figure 3 : Les faux portefeuilles sont une escroquerie courante visant les utilisateurs débutants de crypto.
Source : cryptorank
Attaques visant la manière dont les utilisateurs gèrent ou interagissent avec les portefeuilles et les interfaces de signature.
Risques découlant des interactions avec un code on-chain malveillant ou vulnérable.
Figure 4 : Un prêt flash a été responsable de l'un des plus grands exploits de DeFi
Source : Elliptic
Escroqueries liées à la structure des tokens, des projets DeFi ou des collections NFT.
Exploiter l'infrastructure de niveau front-end ou DNS sur laquelle les utilisateurs comptent.
Risques réels impliquant coercition, vol ou surveillance.
Figure 5 : Malheureusement, les menaces physiques ont été courantes.
Source : The New York Times
Certain exploits se produisent plus souvent que d'autres. Voici trois exploits que les personnes détenant ou interagissant avec des cryptos devraient connaître, y compris comment les prévenir. Une agrégation de techniques de prévention et d'attributs clés à surveiller sera listée à la fin de la section, car il existe des chevauchements parmi les différentes méthodes d'exploitation.
Le phishing précède le crypto de plusieurs décennies et le terme est apparu dans les années 1990 pour décrire les attaquants « pêchant » des informations sensibles, généralement des identifiants de connexion, via de faux e-mails et des sites web. Alors que le crypto émergeait en tant que système financier parallèle, le phishing a naturellement évolué pour cibler les phrases de récupération, les clés privées et les autorisations de portefeuille, c'est-à-dire les équivalents crypto de « plein contrôle ».
Le phishing Crypto est particulièrement dangereux car il n'y a pas de recours : pas de rétrofacturations, pas de protection contre la fraude et pas de support client capable d'annuler une transaction. Une fois que votre clé est volée, vos fonds sont pratiquement perdus. Il est également important de se rappeler que le phishing est parfois juste la première étape d'une exploitation plus large, rendant le véritable risque non pas la perte initiale, mais la longue série de compromissions qui suivent, par exemple, des identifiants compromis peuvent permettre à un attaquant d'usurper l'identité de la victime et d'escroquer d'autres personnes.
Comment fonctionne le phishing ?
Au cœur du phishing, on exploite la confiance humaine en présentant une version fausse d'une interface de confiance, ou en se faisant passer pour une personne d'autorité, afin de tromper les utilisateurs pour qu'ils transmettent volontairement des informations sensibles ou approuvent des actions malveillantes. Il existe plusieurs vecteurs de livraison principaux :
Figure 6 : Soyez toujours prudent lorsque vous voyez « gratuit » dans le crypto
Source : Presto Research
Exemples de phishing
Le piratage du portefeuille Atomic en juin 2023, attribué au groupe Lazarus de la Corée du Nord, reste l'une des attaques de phishing pures les plus destructrices de l'histoire du Crypto. Il a conduit au vol de plus de 100 millions de dollars en cryptomonnaie en compromettant plus de 5 500 portefeuilles non custodiaux sans nécessiter que les utilisateurs signent des transactions malveillantes ou interagissent avec des contrats intelligents. Cette attaque s'est concentrée uniquement sur l'extraction des phrases de récupération et des clés privées par le biais d'interfaces trompeuses et de logiciels malveillants - un exemple classique de vol d'identifiants basé sur le phishing.
Atomic Wallet est un portefeuille multi-chaînes et non-custodial prenant en charge plus de 500 cryptomonnaies. Dans cet incident, des attaquants ont lancé une campagne de phishing coordonnée qui a exploité la confiance que les utilisateurs avaient dans l'infrastructure de support du portefeuille, les processus de mise à jour et l'identité de la marque. Les victimes ont été attirées par des e-mails, des faux sites Web et des mises à jour logicielles trojanisées, tous conçus pour imiter des communications légitimes d'Atomic Wallet.
Les vecteurs de phishing comprenaient :
atomic-wallet[.]co
) qui imitait l'interface de récupération ou de réclamation de récompense du portefeuille.Une fois que les utilisateurs ont saisi leurs phrases de récupération de 12 ou 24 mots ou leurs clés privées dans ces interfaces frauduleuses, les attaquants ont eu un accès complet à leurs portefeuilles. Cette exploitation n'impliquait aucune interaction on-chain de la part de la victime : aucune connexion de portefeuille, aucune demande de signature et aucune implication de contrat intelligent. Au lieu de cela, elle reposait entièrement sur l'ingénierie sociale et la volonté de l'utilisateur de restaurer ou de vérifier son portefeuille sur ce qui semblait être une plateforme de confiance.
Un draineur de portefeuille est un type de contrat intelligent malveillant ou d'application décentralisée conçu pour extraire des actifs de votre portefeuille, non pas en volant votre clé privée, mais en vous trompant pour que vous autorisiez l'accès aux tokens ou que vous signiez des transactions dangereuses. Contrairement au phishing, qui cherche vos identifiants, les draineurs exploitent les autorisations - le mécanisme élémentaire de confiance qui alimente le Web3.
Alors que les applications DeFi et Web3 sont devenues mainstream, des portefeuilles comme MetaMask et Phantom ont popularisé l'idée de "se connecter" aux dApps. Cela a apporté de la commodité mais aussi une surface d'attaque massive. Entre 2021 et 2023, les drainages d'approbation ont explosé en popularité grâce aux émissions NFT, aux fausses airdrops, et les dApps escrocs ont commencé à intégrer des contrats malveillants dans des interfaces utilisateur autrement familières. Les utilisateurs, souvent excités ou distraits, se connectaient à leur portefeuille et cliquaient sur "Approuver" sans réaliser ce qu'ils autorisaient.
En quoi cela est-il différent du phishing ?
Le phishing consiste à tromper quelqu'un pour qu'il révèle volontairement des informations sensibles, telles qu'une phrase de récupération, un mot de passe ou une clé privée. Connecter votre portefeuille ne révèle pas vos clés ou phrases car vous ne transmettez pas de secrets, vous signez des transactions ou accordez des permissions. Ces exploits se produisent par le biais de la logique des contrats intelligents, et non par le vol de vos informations d'identification, ce qui les rend mécaniquement différents du phishing. Vous autorisez la fuite, souvent sans vous en rendre compte, ce qui ressemble davantage à un "piège de consentement" qu'au vol d'identifiants.
Vous pouvez considérer le phishing comme basé sur des IDENTIFIANTS et les drainages de portefeuilles / approbations malveillantes comme basés sur des AUTORISATIONS.
Les mécanismes de l'attaque
Les approbations malveillantes exploitent les systèmes de permissions dans les normes de blockchain comme ERC-20 (tokens) et ERC-721/ERC-1155 (NFTs). Elles trompent les utilisateurs en leur faisant accorder aux attaquants un accès continu à leurs actifs.
Exemples de siphonneurs de portefeuille / approbations malveillantes
L'escroquerie Monkey Drainer, active principalement en 2022 et début 2023, était un ensemble d'outils de phishing notoire « drainer-as-a-service » responsable du vol de millions en crypto (y compris des NFT) à travers des sites web trompeurs et des contrats intelligents malveillants. Contrairement au phishing traditionnel, qui repose sur la collecte des phrases de récupération ou des mots de passe des utilisateurs, Monkey Drainer fonctionnait par le biais de signatures de transaction malveillantes et d'abus de contrats intelligents, permettant aux attaquants d'extraire des tokens et des NFT sans compromettre directement les identifiants. En trompant les utilisateurs pour qu'ils signent des approbations dangereuses sur la chaîne, Monkey Drainer a permis le vol de plus de 4,3 millions de dollars à travers des centaines de portefeuilles avant sa fermeture début 2023.
Figure 7 : Le célèbre détective on-chain ZachXBT découvre des escroqueries Monkey Drainer
Source : Twitter (@zachxbt)
Le kit était populaire parmi les attaquants peu qualifiés et fortement commercialisé dans les communautés Telegram souterraines et sur le dark web. Il permettait aux affiliés de cloner de faux sites de mint, d'usurper l'identité de projets réels et de configurer le backend pour transférer des transactions signées à un contrat de drainage centralisé. Ces contrats étaient conçus pour exploiter les autorisations de token, comptant sur les utilisateurs pour signer à leur insu des messages qui accordaient à l'adresse de l'attaquant un accès aux actifs via des fonctions telles que setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).
Notamment, le flux d'interaction évitait le phishing direct : les victimes n'étaient pas invitées à fournir leurs clés privées ou phrases de récupération. Au lieu de cela, elles interagissaient avec des dApps apparemment légitimes, souvent sur des pages de minting avec des compte à rebours ou un branding sur-hypé. Une fois connectés, les utilisateurs se voyaient demander de signer une transaction qu'ils ne comprenaient pas complètement, souvent masquée par un langage d'approbation générique ou une obfuscation de l'interface utilisateur du portefeuille. Ces signatures ne transféraient pas directement des fonds, mais autorisaient l'attaquant à le faire à tout moment. Avec les permissions accordées, le contrat de drainage pouvait exécuter des retraits en lot dans un seul bloc.
Un élément caractéristique de la méthode Monkey Drainer était son exécution retardée : les actifs volés étaient souvent drainés des heures ou des jours plus tard, afin d'éviter les soupçons et de maximiser le rendement. Cela la rendait particulièrement efficace contre les utilisateurs ayant de grands portefeuilles ou une activité de trading active, dont les approbations se fondaient dans des modèles d'utilisation normale. Parmi les victimes de haut profil, on trouvait des collectionneurs de NFT qui ont perdu des actifs de projets tels que CloneX, Bored Apes et Azuki.
Bien que Monkey Drainer ait cessé ses opérations en 2023, apparemment pour "se faire discret", l'ère des siphonneurs de portefeuilles continue d'évoluer, représentant une menace persistante pour les utilisateurs qui méconnaissent ou sous-estiment le pouvoir d'une approbation on-chain.
Enfin, les « logiciels malveillants et les exploits de dispositifs » se réfèrent à un large éventail d'attaques polyvalentes qui englobent divers vecteurs de livraison, tous visant à compromettre l'ordinateur, le téléphone ou le navigateur d'un utilisateur, généralement par le biais de logiciels malveillants installés par tromperie. L'objectif est généralement de voler des informations sensibles (par exemple, des phrases de récupération, des clés privées), d'intercepter les interactions de portefeuille ou de donner à l'attaquant un contrôle à distance sur le dispositif de la victime. Dans le crypto, ces attaques commencent souvent par l'ingénierie sociale, comme une fausse offre d'emploi, une mise à jour d'application fictive ou un fichier envoyé via Discord, mais escaladent rapidement en une compromission complète du système.
Les logiciels malveillants existent depuis les débuts de l'informatique personnelle. Dans des contextes traditionnels, ils étaient utilisés pour voler des informations de carte de crédit, récolter des identifiants ou détourner des systèmes pour du spam ou des ransomwares. Alors que le crypto gagnait en traction, les attaquants ont changé de stratégie : au lieu de cibler les identifiants pour la banque en ligne (qui peuvent être annulés), ils visent désormais à voler des actifs crypto irréversibles.
Comment ces attaques commencent… L'angle de l'ingénierie sociale
La plupart des logiciels malveillants ne se propagent pas au hasard : ils nécessitent que la victime soit trompée pour l'exécuter. C'est là que l'ingénierie sociale entre en jeu.
Méthodes de livraison courantes :
Le fil conducteur : L'attaquant crée un contexte crédible qui convainc l'utilisateur de cliquer, de télécharger ou d'ouvrir quelque chose de dangereux.
Types de logiciels malveillants courants dans les exploits Crypto
Exemple : L'escroquerie à l'emploi Axie Infinity de 2022
L'escroquerie à l'emploi Axie Infinity de 2022, qui a conduit au piratage massif du Ronin Bridge, est un exemple parfait d'un logiciel malveillant et d'une exploitation de dispositif dans l'espace crypto, alimenté par une ingénierie sociale sophistiquée. Cette attaque, attribuée au groupe Lazarus soutenu par l'État nord-coréen, a entraîné le vol d'environ 620 millions de dollars en crypto-monnaie, en faisant l'un des plus grands piratages de finance décentralisée (DeFi) à ce jour.
Figure 8 : L'exploitation d'Axie Infinity a fait son apparition dans les médias TradFi
Source : Bloomberg TV
Le piratage était une opération en plusieurs étapes combinant l'ingénierie sociale, le déploiement de logiciels malveillants et l'exploitation des vulnérabilités de l'infrastructure blockchain.
Les hackers, se faisant passer pour des recruteurs d'une entreprise fictive, ont ciblé les employés de Sky Mavis via LinkedIn : Sky Mavis est la société derrière le Ronin Network, une sidechain liée à Ethereum qui alimente Axie Infinity, un jeu blockchain populaire de type play-to-earn. À l'époque, Ronin et Axie Infinity avaient des capitalisations boursières respectives d'environ 300 millions de dollars et 4 milliards de dollars.
Plusieurs employés ont été approchés, mais un ingénieur senior est devenu la cible principale avec qui les attaquants ont mené plusieurs tours de faux entretiens d'embauche pour établir la confiance, offrant un package de rémunération extrêmement généreux pour attirer l'ingénieur. Les attaquants ont envoyé un document PDF, déguisé en offre d'emploi formelle, à l'ingénieur. L'ingénieur, croyant qu'il faisait partie du processus d'embauche, a téléchargé et ouvert le fichier sur un ordinateur de l'entreprise. Le PDF contenait un RAT qui a infecté le système de l'ingénieur dès son ouverture, donnant aux hackers un accès aux systèmes internes de Sky Mavis, probablement par le biais d'une escalade de privilèges ou d'un mouvement latéral au sein du réseau. Cette compromission a fourni un point d'appui pour cibler l'infrastructure du réseau Ronin.
La mécanique du piratage qui a continué à exploiter le pont Ronin et le DAO Axie dépasse le cadre de cet article de recherche, cependant, cette exploitation a abouti à un vol de 620 millions de dollars (173 600 ETH et 25,5 millions USDC) avec seulement 30 millions de dollars récupérés.
Les tentatives d'exploitation deviennent de plus en plus sophistiquées, mais reposent toujours sur des signes révélateurs. Les indicateurs d'alerte incluent :
Règles supplémentaires d'OpSec (sécurité opérationnelle) :
La plupart des utilisateurs considèrent les exploits dans le crypto comme quelque chose de technique et d'inévitable, en particulier ceux qui sont nouveaux dans l'industrie. Bien que cela puisse être vrai pour les méthodes d'attaque complexes, il arrive souvent que la première étape cible l'individu de manière non technique, rendant le reste de l'exploitation évitable.
La grande majorité des pertes personnelles dans cet espace ne proviennent pas d'un nouveau bug de type zero-day ou d'un protocole obscur, mais plutôt du fait que les gens signent des choses qu'ils n'ont pas lues ou importent des portefeuilles dans des applications fausses, ou font confiance à un message privé qui semble juste suffisamment plausible. Les outils peuvent être nouveaux, mais les tactiques sont aussi anciennes que le temps : tromperie, urgence, distraction.
Les gens viennent au crypto pour l'auto-garde et la nature sans autorisation, mais les utilisateurs doivent se rappeler qu'ici, les enjeux sont plus élevés ; dans la finance traditionnelle, vous vous faites arnaquer et vous appelez la banque. Dans le crypto, vous vous faites arnaquer et c'est la fin de l'histoire.
Le Crypto est auto-géré par conception. C'est la fonctionnalité. Mais cette caractéristique fondamentale, qui est au cœur des valeurs de l'industrie, peut souvent faire de vous l'utilisateur un point de défaillance unique. Dans de nombreux cas d'individus perdant leurs fonds en crypto, ce n'est pas un bug dans le protocole : c'est un clic. Un DM. Une approbation. Un moment de confiance ou de négligence à effectuer une tâche quotidienne apparemment non conséquente qui peut altérer le cours des expériences crypto d'une personne.
Ce rapport n'est pas un livre blanc technique ni une revue de la logique des contrats intelligents, mais plutôt un modèle de menace pour les individus. Une analyse de la manière dont les utilisateurs sont exploités en pratique, et ce qu'il faut faire à ce sujet. Le rapport se concentrera sur les exploitations au niveau personnel : phishing, approbations de portefeuille, ingénierie sociale, logiciels malveillants. Il couvrira également brièvement les risques au niveau des protocoles à la fin pour donner un aperçu du spectre des exploitations qui se produisent dans le crypto.
La nature permanente et irréversible des transactions qui se produisent dans des environnements sans autorisation, souvent sans l'avis d'intermédiaires, combinée au fait que les utilisateurs individuels sont responsables d'interagir avec des contreparties anonymes sur les mêmes appareils et navigateurs qui détiennent des actifs financiers, fait de la crypto un terrain de chasse unique pour les hackers et autres criminels. Ci-dessous se trouve une liste exhaustive des types d'exploits auxquels les individus peuvent être confrontés, mais les lecteurs doivent être conscients que, bien que cette liste couvre la majorité des exploits, elle n'est pas exhaustive. La liste peut être écrasante pour ceux qui ne sont pas familiers avec la crypto, mais une bonne partie de ces exploits sont des exploits "réguliers" qui se produisent depuis un certain temps à l'ère d'Internet et ne sont pas uniques à cette industrie. §3 couvrira quelques méthodes d'exploitation clés en détail.
Des attaques reposant sur la manipulation psychologique pour tromper les individus afin qu'ils compromettent leur sécurité.
Figure 1 : Les conséquences de l'ingénierie sociale peuvent être très graves
Source : Cointelegraph
Exploiter les infrastructures télécom ou les faiblesses au niveau des comptes pour contourner l'authentification.
Figure 2 : Un faux Tweet de la SEC via un échange de SIM
Source : Twitter
Compromettre l'appareil de l'utilisateur pour extraire l'accès au portefeuille ou manipuler les transactions (plus dans §3).
Figure 3 : Les faux portefeuilles sont une escroquerie courante visant les utilisateurs débutants de crypto.
Source : cryptorank
Attaques visant la manière dont les utilisateurs gèrent ou interagissent avec les portefeuilles et les interfaces de signature.
Risques découlant des interactions avec un code on-chain malveillant ou vulnérable.
Figure 4 : Un prêt flash a été responsable de l'un des plus grands exploits de DeFi
Source : Elliptic
Escroqueries liées à la structure des tokens, des projets DeFi ou des collections NFT.
Exploiter l'infrastructure de niveau front-end ou DNS sur laquelle les utilisateurs comptent.
Risques réels impliquant coercition, vol ou surveillance.
Figure 5 : Malheureusement, les menaces physiques ont été courantes.
Source : The New York Times
Certain exploits se produisent plus souvent que d'autres. Voici trois exploits que les personnes détenant ou interagissant avec des cryptos devraient connaître, y compris comment les prévenir. Une agrégation de techniques de prévention et d'attributs clés à surveiller sera listée à la fin de la section, car il existe des chevauchements parmi les différentes méthodes d'exploitation.
Le phishing précède le crypto de plusieurs décennies et le terme est apparu dans les années 1990 pour décrire les attaquants « pêchant » des informations sensibles, généralement des identifiants de connexion, via de faux e-mails et des sites web. Alors que le crypto émergeait en tant que système financier parallèle, le phishing a naturellement évolué pour cibler les phrases de récupération, les clés privées et les autorisations de portefeuille, c'est-à-dire les équivalents crypto de « plein contrôle ».
Le phishing Crypto est particulièrement dangereux car il n'y a pas de recours : pas de rétrofacturations, pas de protection contre la fraude et pas de support client capable d'annuler une transaction. Une fois que votre clé est volée, vos fonds sont pratiquement perdus. Il est également important de se rappeler que le phishing est parfois juste la première étape d'une exploitation plus large, rendant le véritable risque non pas la perte initiale, mais la longue série de compromissions qui suivent, par exemple, des identifiants compromis peuvent permettre à un attaquant d'usurper l'identité de la victime et d'escroquer d'autres personnes.
Comment fonctionne le phishing ?
Au cœur du phishing, on exploite la confiance humaine en présentant une version fausse d'une interface de confiance, ou en se faisant passer pour une personne d'autorité, afin de tromper les utilisateurs pour qu'ils transmettent volontairement des informations sensibles ou approuvent des actions malveillantes. Il existe plusieurs vecteurs de livraison principaux :
Figure 6 : Soyez toujours prudent lorsque vous voyez « gratuit » dans le crypto
Source : Presto Research
Exemples de phishing
Le piratage du portefeuille Atomic en juin 2023, attribué au groupe Lazarus de la Corée du Nord, reste l'une des attaques de phishing pures les plus destructrices de l'histoire du Crypto. Il a conduit au vol de plus de 100 millions de dollars en cryptomonnaie en compromettant plus de 5 500 portefeuilles non custodiaux sans nécessiter que les utilisateurs signent des transactions malveillantes ou interagissent avec des contrats intelligents. Cette attaque s'est concentrée uniquement sur l'extraction des phrases de récupération et des clés privées par le biais d'interfaces trompeuses et de logiciels malveillants - un exemple classique de vol d'identifiants basé sur le phishing.
Atomic Wallet est un portefeuille multi-chaînes et non-custodial prenant en charge plus de 500 cryptomonnaies. Dans cet incident, des attaquants ont lancé une campagne de phishing coordonnée qui a exploité la confiance que les utilisateurs avaient dans l'infrastructure de support du portefeuille, les processus de mise à jour et l'identité de la marque. Les victimes ont été attirées par des e-mails, des faux sites Web et des mises à jour logicielles trojanisées, tous conçus pour imiter des communications légitimes d'Atomic Wallet.
Les vecteurs de phishing comprenaient :
atomic-wallet[.]co
) qui imitait l'interface de récupération ou de réclamation de récompense du portefeuille.Une fois que les utilisateurs ont saisi leurs phrases de récupération de 12 ou 24 mots ou leurs clés privées dans ces interfaces frauduleuses, les attaquants ont eu un accès complet à leurs portefeuilles. Cette exploitation n'impliquait aucune interaction on-chain de la part de la victime : aucune connexion de portefeuille, aucune demande de signature et aucune implication de contrat intelligent. Au lieu de cela, elle reposait entièrement sur l'ingénierie sociale et la volonté de l'utilisateur de restaurer ou de vérifier son portefeuille sur ce qui semblait être une plateforme de confiance.
Un draineur de portefeuille est un type de contrat intelligent malveillant ou d'application décentralisée conçu pour extraire des actifs de votre portefeuille, non pas en volant votre clé privée, mais en vous trompant pour que vous autorisiez l'accès aux tokens ou que vous signiez des transactions dangereuses. Contrairement au phishing, qui cherche vos identifiants, les draineurs exploitent les autorisations - le mécanisme élémentaire de confiance qui alimente le Web3.
Alors que les applications DeFi et Web3 sont devenues mainstream, des portefeuilles comme MetaMask et Phantom ont popularisé l'idée de "se connecter" aux dApps. Cela a apporté de la commodité mais aussi une surface d'attaque massive. Entre 2021 et 2023, les drainages d'approbation ont explosé en popularité grâce aux émissions NFT, aux fausses airdrops, et les dApps escrocs ont commencé à intégrer des contrats malveillants dans des interfaces utilisateur autrement familières. Les utilisateurs, souvent excités ou distraits, se connectaient à leur portefeuille et cliquaient sur "Approuver" sans réaliser ce qu'ils autorisaient.
En quoi cela est-il différent du phishing ?
Le phishing consiste à tromper quelqu'un pour qu'il révèle volontairement des informations sensibles, telles qu'une phrase de récupération, un mot de passe ou une clé privée. Connecter votre portefeuille ne révèle pas vos clés ou phrases car vous ne transmettez pas de secrets, vous signez des transactions ou accordez des permissions. Ces exploits se produisent par le biais de la logique des contrats intelligents, et non par le vol de vos informations d'identification, ce qui les rend mécaniquement différents du phishing. Vous autorisez la fuite, souvent sans vous en rendre compte, ce qui ressemble davantage à un "piège de consentement" qu'au vol d'identifiants.
Vous pouvez considérer le phishing comme basé sur des IDENTIFIANTS et les drainages de portefeuilles / approbations malveillantes comme basés sur des AUTORISATIONS.
Les mécanismes de l'attaque
Les approbations malveillantes exploitent les systèmes de permissions dans les normes de blockchain comme ERC-20 (tokens) et ERC-721/ERC-1155 (NFTs). Elles trompent les utilisateurs en leur faisant accorder aux attaquants un accès continu à leurs actifs.
Exemples de siphonneurs de portefeuille / approbations malveillantes
L'escroquerie Monkey Drainer, active principalement en 2022 et début 2023, était un ensemble d'outils de phishing notoire « drainer-as-a-service » responsable du vol de millions en crypto (y compris des NFT) à travers des sites web trompeurs et des contrats intelligents malveillants. Contrairement au phishing traditionnel, qui repose sur la collecte des phrases de récupération ou des mots de passe des utilisateurs, Monkey Drainer fonctionnait par le biais de signatures de transaction malveillantes et d'abus de contrats intelligents, permettant aux attaquants d'extraire des tokens et des NFT sans compromettre directement les identifiants. En trompant les utilisateurs pour qu'ils signent des approbations dangereuses sur la chaîne, Monkey Drainer a permis le vol de plus de 4,3 millions de dollars à travers des centaines de portefeuilles avant sa fermeture début 2023.
Figure 7 : Le célèbre détective on-chain ZachXBT découvre des escroqueries Monkey Drainer
Source : Twitter (@zachxbt)
Le kit était populaire parmi les attaquants peu qualifiés et fortement commercialisé dans les communautés Telegram souterraines et sur le dark web. Il permettait aux affiliés de cloner de faux sites de mint, d'usurper l'identité de projets réels et de configurer le backend pour transférer des transactions signées à un contrat de drainage centralisé. Ces contrats étaient conçus pour exploiter les autorisations de token, comptant sur les utilisateurs pour signer à leur insu des messages qui accordaient à l'adresse de l'attaquant un accès aux actifs via des fonctions telles que setApprovalForAll() (NFTs) ou permit() (tokens ERC-20).
Notamment, le flux d'interaction évitait le phishing direct : les victimes n'étaient pas invitées à fournir leurs clés privées ou phrases de récupération. Au lieu de cela, elles interagissaient avec des dApps apparemment légitimes, souvent sur des pages de minting avec des compte à rebours ou un branding sur-hypé. Une fois connectés, les utilisateurs se voyaient demander de signer une transaction qu'ils ne comprenaient pas complètement, souvent masquée par un langage d'approbation générique ou une obfuscation de l'interface utilisateur du portefeuille. Ces signatures ne transféraient pas directement des fonds, mais autorisaient l'attaquant à le faire à tout moment. Avec les permissions accordées, le contrat de drainage pouvait exécuter des retraits en lot dans un seul bloc.
Un élément caractéristique de la méthode Monkey Drainer était son exécution retardée : les actifs volés étaient souvent drainés des heures ou des jours plus tard, afin d'éviter les soupçons et de maximiser le rendement. Cela la rendait particulièrement efficace contre les utilisateurs ayant de grands portefeuilles ou une activité de trading active, dont les approbations se fondaient dans des modèles d'utilisation normale. Parmi les victimes de haut profil, on trouvait des collectionneurs de NFT qui ont perdu des actifs de projets tels que CloneX, Bored Apes et Azuki.
Bien que Monkey Drainer ait cessé ses opérations en 2023, apparemment pour "se faire discret", l'ère des siphonneurs de portefeuilles continue d'évoluer, représentant une menace persistante pour les utilisateurs qui méconnaissent ou sous-estiment le pouvoir d'une approbation on-chain.
Enfin, les « logiciels malveillants et les exploits de dispositifs » se réfèrent à un large éventail d'attaques polyvalentes qui englobent divers vecteurs de livraison, tous visant à compromettre l'ordinateur, le téléphone ou le navigateur d'un utilisateur, généralement par le biais de logiciels malveillants installés par tromperie. L'objectif est généralement de voler des informations sensibles (par exemple, des phrases de récupération, des clés privées), d'intercepter les interactions de portefeuille ou de donner à l'attaquant un contrôle à distance sur le dispositif de la victime. Dans le crypto, ces attaques commencent souvent par l'ingénierie sociale, comme une fausse offre d'emploi, une mise à jour d'application fictive ou un fichier envoyé via Discord, mais escaladent rapidement en une compromission complète du système.
Les logiciels malveillants existent depuis les débuts de l'informatique personnelle. Dans des contextes traditionnels, ils étaient utilisés pour voler des informations de carte de crédit, récolter des identifiants ou détourner des systèmes pour du spam ou des ransomwares. Alors que le crypto gagnait en traction, les attaquants ont changé de stratégie : au lieu de cibler les identifiants pour la banque en ligne (qui peuvent être annulés), ils visent désormais à voler des actifs crypto irréversibles.
Comment ces attaques commencent… L'angle de l'ingénierie sociale
La plupart des logiciels malveillants ne se propagent pas au hasard : ils nécessitent que la victime soit trompée pour l'exécuter. C'est là que l'ingénierie sociale entre en jeu.
Méthodes de livraison courantes :
Le fil conducteur : L'attaquant crée un contexte crédible qui convainc l'utilisateur de cliquer, de télécharger ou d'ouvrir quelque chose de dangereux.
Types de logiciels malveillants courants dans les exploits Crypto
Exemple : L'escroquerie à l'emploi Axie Infinity de 2022
L'escroquerie à l'emploi Axie Infinity de 2022, qui a conduit au piratage massif du Ronin Bridge, est un exemple parfait d'un logiciel malveillant et d'une exploitation de dispositif dans l'espace crypto, alimenté par une ingénierie sociale sophistiquée. Cette attaque, attribuée au groupe Lazarus soutenu par l'État nord-coréen, a entraîné le vol d'environ 620 millions de dollars en crypto-monnaie, en faisant l'un des plus grands piratages de finance décentralisée (DeFi) à ce jour.
Figure 8 : L'exploitation d'Axie Infinity a fait son apparition dans les médias TradFi
Source : Bloomberg TV
Le piratage était une opération en plusieurs étapes combinant l'ingénierie sociale, le déploiement de logiciels malveillants et l'exploitation des vulnérabilités de l'infrastructure blockchain.
Les hackers, se faisant passer pour des recruteurs d'une entreprise fictive, ont ciblé les employés de Sky Mavis via LinkedIn : Sky Mavis est la société derrière le Ronin Network, une sidechain liée à Ethereum qui alimente Axie Infinity, un jeu blockchain populaire de type play-to-earn. À l'époque, Ronin et Axie Infinity avaient des capitalisations boursières respectives d'environ 300 millions de dollars et 4 milliards de dollars.
Plusieurs employés ont été approchés, mais un ingénieur senior est devenu la cible principale avec qui les attaquants ont mené plusieurs tours de faux entretiens d'embauche pour établir la confiance, offrant un package de rémunération extrêmement généreux pour attirer l'ingénieur. Les attaquants ont envoyé un document PDF, déguisé en offre d'emploi formelle, à l'ingénieur. L'ingénieur, croyant qu'il faisait partie du processus d'embauche, a téléchargé et ouvert le fichier sur un ordinateur de l'entreprise. Le PDF contenait un RAT qui a infecté le système de l'ingénieur dès son ouverture, donnant aux hackers un accès aux systèmes internes de Sky Mavis, probablement par le biais d'une escalade de privilèges ou d'un mouvement latéral au sein du réseau. Cette compromission a fourni un point d'appui pour cibler l'infrastructure du réseau Ronin.
La mécanique du piratage qui a continué à exploiter le pont Ronin et le DAO Axie dépasse le cadre de cet article de recherche, cependant, cette exploitation a abouti à un vol de 620 millions de dollars (173 600 ETH et 25,5 millions USDC) avec seulement 30 millions de dollars récupérés.
Les tentatives d'exploitation deviennent de plus en plus sophistiquées, mais reposent toujours sur des signes révélateurs. Les indicateurs d'alerte incluent :
Règles supplémentaires d'OpSec (sécurité opérationnelle) :
La plupart des utilisateurs considèrent les exploits dans le crypto comme quelque chose de technique et d'inévitable, en particulier ceux qui sont nouveaux dans l'industrie. Bien que cela puisse être vrai pour les méthodes d'attaque complexes, il arrive souvent que la première étape cible l'individu de manière non technique, rendant le reste de l'exploitation évitable.
La grande majorité des pertes personnelles dans cet espace ne proviennent pas d'un nouveau bug de type zero-day ou d'un protocole obscur, mais plutôt du fait que les gens signent des choses qu'ils n'ont pas lues ou importent des portefeuilles dans des applications fausses, ou font confiance à un message privé qui semble juste suffisamment plausible. Les outils peuvent être nouveaux, mais les tactiques sont aussi anciennes que le temps : tromperie, urgence, distraction.
Les gens viennent au crypto pour l'auto-garde et la nature sans autorisation, mais les utilisateurs doivent se rappeler qu'ici, les enjeux sont plus élevés ; dans la finance traditionnelle, vous vous faites arnaquer et vous appelez la banque. Dans le crypto, vous vous faites arnaquer et c'est la fin de l'histoire.