Un attaquant de Phishing transfère 10 millions de dollars en ETH volés à Tornado Cash

Un mouvement de fonds significatif a été détecté en lien avec un vol de cryptomonnaie très médiatisé survenu en septembre 2023. Le 21 mars, la société de sécurité blockchain CertiK a identifié que le perpetrateur d'une attaque de phishing de 24 millions de dollars a transféré environ 10 millions de dollars d'Éther (3,700 ETH) vers Tornado Cash, un service de mélange de cryptomonnaies controversé.

Détails de l'attaque et chronologie

L'incident de phishing de septembre 2023 a ciblé une "whale" de la cryptomonnaie - un individu détenant des actifs numériques substantiels. La victime a été trompée en autorisant une transaction "Augmenter l'Autorisation", ce qui a accordé à l'attaquant la permission de transférer les tokens de la victime.

L'attaque a été exécutée en deux phases distinctes :

• Première phase : 9 579 stETH ( d'Éthereum ) a été retiré
• Deuxième phase : 4,851 rETH (Rocket Pool ETH) a été volé

Ces actifs ont été pris à la victime qui utilisait Rocket Pool, un service de staking liquide Ethereum populaire qui permet aux utilisateurs de gagner des récompenses de staking tout en maintenant leur liquidité.

Mécanisme technique derrière l'attaque

La violation de sécurité a exploité une fonctionnalité commune mais souvent mal comprise dans le standard de jetons Ethereum. La fonctionnalité "Augmenter l'Autorisation" fait partie du standard de jetons ERC-20 qui permet aux contrats intelligents tiers de dépenser des jetons au nom des utilisateurs - une fonctionnalité légitime nécessaire au bon fonctionnement de nombreuses applications décentralisées.

Cependant, lorsque des acteurs malveillants obtiennent ces approbations par la tromperie, ils peuvent vider les portefeuilles des utilisateurs sans nécessiter d'autorisation supplémentaire. Cette faille particulière a soulevé des préoccupations importantes au sein de la communauté des cryptomonnaies concernant les risques potentiels de sécurité associés aux approbations de jetons.

Mouvement de fonds et tentatives de blanchiment

Selon la société de sécurité blockchain PeckShield, après avoir obtenu les fonds, l'attaquant a converti les actifs volés en :

• 13,785 Éther (Ethereum)
• 1.64 million DAI (un stablecoin)

Une partie des DAI volés a été transférée vers l'échange FixedFload, tandis que les fonds restants ont été déplacés vers divers autres portefeuilles de cryptomonnaie pour en obscurcir l'origine. Le transfert récent de 3 700 ETH ( environ 10 millions de dollars ) vers Tornado Cash représente une tentative d'obscurcir davantage la piste de l'argent, car ce service de mixage est conçu pour rompre la connexion sur la chaîne entre les adresses source et destination.

Contexte plus large des menaces de phishing

Cet incident fait partie d'une tendance préoccupante en matière de sécurité des cryptomonnaies. Le projet Scam Sniffer, qui se concentre sur la détection de la fraude en cryptomonnaie, a rapporté que près de 47 millions de dollars ont été perdus à cause de scams liés au phishing rien qu'en février. Leur analyse a révélé que :

• 78 % de ces vols ont eu lieu sur le réseau Ethereum
• Les jetons ERC-20 représentaient 86 % de tous les fonds volés

Incidents de Sécurité Récents et Réponses

L'industrie de la cryptomonnaie continue de faire face à des défis liés à des violations de sécurité similaires. Le 20 mars, un contrat intelligent obsolète précédemment utilisé par l'échange Dolomite a été exploité, entraînant le drainage de 1,8 million de dollars des utilisateurs qui avaient précédemment accordé des autorisations à ce contrat. Suite à l'incident, les développeurs de Dolomite ont urgemment conseillé aux utilisateurs de révoquer toutes les autorisations accordées à l'adresse de contrat dépréciée.

Cependant, toutes les attaques ne se traduisent pas par des pertes substantielles. Le même jour (Mars 20), l'équipe de Layerswap a réussi à atténuer un compromis de site web grâce à l'action rapide de leur fournisseur de domaine. Bien que des hackers aient réussi à voler environ 100 000 $ à environ 50 utilisateurs, Layerswap s'est engagé à rembourser les utilisateurs affectés et à fournir une compensation supplémentaire pour le désagrément.

Recommandations de sécurité pour les utilisateurs

Ces incidents soulignent plusieurs pratiques de sécurité importantes pour les détenteurs de cryptomonnaies :

• Passez régulièrement en revue et révoquez les approbations de jetons inutiles
• Vérifiez tous les détails de la transaction avant de signer, en particulier les demandes de permission
• Utilisez des portefeuilles matériels pour une sécurité supplémentaire lors du stockage d'actifs importants
• Implémentez l'authentification multi-facteurs chaque fois que cela est possible
• Faites attention aux liens et aux communications prétendant provenir de services de cryptomonnaie

La sophistication croissante des attaques de phishing souligne la nécessité d'une sensibilisation accrue à la sécurité parmi les utilisateurs de cryptomonnaies et d'outils de détection améliorés de la part des entreprises de sécurité. Alors que le secteur continue de mûrir, la collaboration entre les utilisateurs, les échanges et les experts en sécurité reste essentielle pour créer un écosystème d'actifs numériques plus sécurisé.