Chiffrement escroqueries nouvelles tendances : protocole Blockchain devient le vecteur d'attaque

Les cryptoactifs et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette transformation apporte également de nouveaux défis en matière de sécurité. Les fraudeurs n'exploitent plus seulement les vulnérabilités technologiques, mais transforment eux-mêmes les protocoles des contrats intelligents de la Blockchain en outils d'attaque. À travers des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en moyen de vol d'actifs. Des contrats intelligents falsifiés à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais aussi plus trompeuses en raison de leur apparence "légitimée". Cet article analysera des cas réels pour révéler comment les fraudeurs transforment les protocoles en vecteurs d'attaque, et fournira des solutions complètes allant de la protection technique à la prévention comportementale, afin de vous aider à avancer en toute sécurité dans un monde décentralisé.

I. Comment un protocole légal peut-il devenir un outil de fraude ?

La conception du protocole Blockchain vise à garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, combinées à la négligence des utilisateurs, pour créer de multiples méthodes d'attaque cachées. Voici quelques techniques et leurs détails techniques :

(1) autorisation de contrat intelligent malveillant

Principe technique :

Sur des blockchains comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser des tiers (généralement des contrats intelligents) à retirer un nombre spécifique de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles DeFi, où les utilisateurs doivent autoriser des contrats intelligents pour effectuer des transactions, du staking ou du minage de liquidités. Cependant, des escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.

Mode de fonctionnement :

Les escrocs créent une DApp déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser une petite quantité de jetons, mais en réalité pourrait être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient l'autorisation d'appeler à tout moment la fonction "TransferFrom", pour retirer tous les jetons correspondants du portefeuille de l'utilisateur.

Cas réel :

Début 2023, un site de phishing se faisant passer pour "une mise à jour de certain DEX" a conduit des centaines d'utilisateurs à perdre des millions de dollars en USDT et ETH. Les données on-chain montrent que ces transactions respectaient entièrement la norme ERC-20, et les victimes ne pouvaient même pas récupérer leurs fonds par des moyens légaux, car l'autorisation était signée volontairement.

(2) signature de phishing

Principe technique :

Les transactions Blockchain nécessitent que les utilisateurs génèrent une signature à l'aide de leur clé privée pour prouver la légitimité de la transaction. Le portefeuille affichera généralement une demande de signature, après confirmation de l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs exploitent ce processus pour falsifier des demandes de signature et voler des actifs.

Mode de fonctionnement :

L'utilisateur reçoit un e-mail ou un message sur les réseaux sociaux déguisé en notification officielle, par exemple "Votre airdrop NFT est à réclamer, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site Web malveillant, qui demande de connecter le portefeuille et de signer une "transaction de validation". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement de l'ETH ou des jetons du portefeuille vers l'adresse du fraudeur ; ou bien il s'agit d'une opération "SetApprovalForAll", autorisant le fraudeur à contrôler la collection NFT de l'utilisateur.

Cas réel :

Une communauté d'un célèbre projet NFT a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ont perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "de réception d'airdrop" falsifiées. Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.

(3) jetons frauduleux et "attaque par poussière"

Principes techniques :

La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les fraudeurs exploitent cela en envoyant de petites quantités de Cryptoactifs à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de l'associer à la personne ou à l'entreprise propriétaire du portefeuille. Les attaquants utilisent ensuite ces informations pour lancer des attaques de phishing ou des menaces contre les victimes.

Mode de fonctionnement :

Dans la plupart des cas, la "poussière" utilisée dans les attaques de poussière est distribuée sous forme d'airdrop dans les portefeuilles des utilisateurs. Ces jetons peuvent porter des noms ou des métadonnées spécifiques, incitant les utilisateurs à visiter un site web pour plus de détails. Les utilisateurs peuvent essayer de liquider ces jetons, puis les attaquants peuvent accéder au portefeuille de l'utilisateur via l'adresse du contrat associée aux jetons. Plus insidieux, les attaques de poussière peuvent utiliser l'ingénierie sociale pour analyser les transactions ultérieures des utilisateurs, ciblant ainsi les adresses de portefeuille actives des utilisateurs afin d'exécuter des escroqueries plus précises.

Cas réel :

Dans le passé, une attaque par poussière de jeton sur le réseau Ethereum a affecté des milliers de portefeuilles. Certains utilisateurs ont perdu des ETH et des jetons ERC-20 en raison de leur curiosité à interagir.

Deuxièmement, pourquoi ces arnaques sont-elles difficiles à détecter ?

Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :

• Complexité technique : le code des contrats intelligents et les demandes de signature sont obscurs pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous forme de données hexadécimales complexes, ce qui empêche l'utilisateur de juger intuitivement de sa signification.

• Légalité en chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.

• Ingénierie sociale : les fraudeurs exploitent les faiblesses humaines, telles que la cupidité, la peur ou la confiance.

• Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles du domaine officiel, voire augmenter leur crédibilité grâce à un certificat HTTPS.

Trois, comment protéger votre portefeuille de Cryptoactifs ?

Face à ces arnaques alliant techniques et guerre psychologique, la protection des actifs nécessite des stratégies multi-niveaux. Voici des mesures préventives détaillées :

Vérifiez et gérez les autorisations d'autorisation

• Utilisez l'outil de vérification des autorisations du navigateur Blockchain pour vérifier régulièrement les enregistrements d'autorisation du portefeuille.
• Révoquer les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
• Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
• Vérifiez la valeur "Allowance", si elle est "illimitée", elle doit être immédiatement annulée.

Vérifier le lien et la source

• Entrez manuellement l'URL officielle, évitez de cliquer sur les liens dans les médias sociaux ou les e-mails.
• Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL.
• Méfiez-vous des URL avec des fautes de frappe ou des caractères superflus.

Utiliser un portefeuille froid et une signature multiple

• Conservez la plupart de vos actifs dans un portefeuille matériel et ne connectez le réseau que lorsque c'est nécessaire.
• Pour les actifs importants, utilisez des outils de signature multiple, exigeant la confirmation de la transaction par plusieurs clés.

Traitez les demandes de signature avec prudence

• Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
• Utilisez la fonction de décodage de l'explorateur Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
• Créez un portefeuille indépendant pour des opérations à haut risque, et stockez une petite quantité d'actifs.

faire face aux attaques par poussière

• Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
• Confirmez l'origine des jetons via le navigateur Blockchain, si l'envoi est en masse, restez très vigilant.
• Évitez de rendre publique l'adresse du portefeuille, ou utilisez une nouvelle adresse pour des opérations sensibles.

Conclusion

En mettant en œuvre les mesures de sécurité susmentionnées, les utilisateurs peuvent réduire de manière significative le risque de devenir des victimes de programmes de fraude avancés. Cependant, la véritable sécurité ne repose pas uniquement sur les protections techniques. Lorsque les portefeuilles matériels construisent une ligne de défense physique et que les signatures multiples répartissent les risques, la compréhension par l'utilisateur de la logique d'autorisation et la prudence dans ses comportements sur la chaîne sont la dernière forteresse contre les attaques.

Chaque analyse des données avant la signature, chaque examen des autorisations après la délégation, est un moyen de préserver sa souveraineté numérique. À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle reste : internaliser la conscience de la sécurité en tant qu'habitude, maintenir un équilibre entre confiance et vérification. Dans le monde du Blockchain, chaque clic, chaque transaction est enregistré de façon permanente et ne peut être modifié. Par conséquent, rester vigilant et continuer à apprendre est crucial pour protéger vos actifs numériques.