Ce que révèle une attaque de 440 000 $ sur la menace croissante des arnaques de « permission » sur Ethereum

Source : PortaldoBitcoin Titre original : Ce qu’une attaque de 440 000 $ révèle sur la menace croissante des arnaques à la « permission » sur Ethereum Lien original : Un hacker a dérobé plus de 440 000 $ en USDC après que le propriétaire d’un portefeuille a, sans le savoir, signé une signature de « permission » malveillante, selon un tweet de Scam Sniffer lundi (8).

Le vol intervient dans un contexte de hausse des pertes liées au phishing. Environ 7,77 millions de dollars ont été perdus par plus de 6 000 victimes en novembre, selon le rapport mensuel de Scam Sniffer, ce qui représente une augmentation de 137 % des pertes totales par rapport à octobre, malgré une baisse de 42 % du nombre de victimes.

« La chasse aux baleines s’est intensifiée, avec une perte maximale de 1,22 million de dollars via une (signature de permission). Malgré la diminution du nombre d’attaques, les pertes individuelles ont significativement augmenté », a noté l’entreprise.

Que sont les arnaques à la permission ?

Les arnaques basées sur la permission consistent à tromper les utilisateurs pour qu’ils signent une transaction qui semble légitime, mais qui en réalité donne à l’attaquant le droit de dépenser leurs jetons. Des applications décentralisées (dapps) malveillantes peuvent masquer des champs, falsifier des noms de contrats ou présenter la demande de signature comme une opération de routine.

Si un utilisateur n’examine pas attentivement les détails, la signature de la demande accorde à l’attaquant la permission d’accéder à tous les tokens ERC-20 de l’utilisateur. Une fois la permission accordée, les fraudeurs vident généralement les fonds immédiatement.

La méthode exploite la fonction de permission d’Ethereum, conçue pour faciliter les transferts de tokens en permettant aux utilisateurs de déléguer des droits de dépense à des applications de confiance. Cette commodité devient une vulnérabilité lorsque ces droits sont accordés à un attaquant.

« Ce qui est particulièrement délicat dans ce type d’attaque, c’est que les attaquants peuvent effectuer la permission et le transfert de tokens en une seule transaction (une approche du type “smash and grab”) ou bien se donner l’accès via la permission et ensuite rester inactifs, attendant de transférer tout fonds ajouté ultérieurement (du moment qu’ils définissent une durée d’accès suffisamment longue dans les métadonnées de la fonction de permission) », explique Tara Annison, cheffe de produit chez Twinstake.

« Le succès de ce type d’arnaque repose sur le fait que vous signez quelque chose sans comprendre pleinement ce qui va se passer », a-t-elle ajouté, précisant : « Tout se résume à la vulnérabilité humaine et au fait de tirer parti de la naïveté des gens ».

Annison a ajouté que cet incident est loin d’être un cas isolé. « Il existe de nombreux exemples d’arnaques de phishing de grande ampleur et de grande valeur, créées pour tromper les utilisateurs et les amener à signer quelque chose qu’ils ne comprennent pas entièrement. Souvent, ces arnaques sont déguisées en distributions gratuites d’argent, fausses pages d’accueil de projets pour connecter votre portefeuille ou alertes de sécurité frauduleuses pour vérifier si vous avez été affecté », a-t-elle ajouté.

Comment se protéger

Les fournisseurs de portefeuilles numériques ont mis en place davantage de fonctions de protection. MetaMask, par exemple, alerte les utilisateurs si un site semble suspect et tente de traduire les données de transaction dans un langage compréhensible par tous. D’autres portefeuilles mettent également en avant les actions à haut risque. Mais les fraudeurs continuent de s’adapter.

Harry Donnelly, fondateur et PDG de Circuit, explique que les attaques de type « permit » sont « assez courantes » et conseille aux utilisateurs de vérifier les adresses des expéditeurs ainsi que les détails du contrat.

« C’est le moyen le plus clair de savoir si le protocole ne correspond pas à la destination réelle des fonds, car il est probable que quelqu’un essaie de vous les voler », a-t-il déclaré. « Vous pouvez vérifier la valeur ; souvent, ils essaient de donner des approbations illimitées, comme ici. »

Annison a souligné que la vigilance reste la meilleure défense des utilisateurs. « La meilleure façon de se protéger contre les arnaques de type ‘permit’, ‘applianceAll’ ou ‘transferFrom’ est de s’assurer que vous comprenez ce que vous signez. Quelles actions seront effectivement réalisées lors de la transaction ? Quelles fonctions sont utilisées ? Correspondent-elles à ce que vous pensiez signer ? »

« De nombreux portefeuilles et applications décentralisées (dapps) ont amélioré leurs interfaces utilisateur pour éviter que vous ne signiez quoi que ce soit à l’aveugle et pour que vous puissiez voir le résultat, ainsi que pour afficher des avertissements concernant les fonctions à haut risque. Cependant, il est important que les utilisateurs vérifient activement ce qu’ils signent et ne se contentent pas de connecter leur portefeuille et de cliquer sur signer », a-t-elle expliqué.

Une fois les fonds volés, leur récupération est peu probable. Martin Derka, cofondateur et responsable technique de Zircuit Finance, estime que les chances de récupérer les fonds sont « pratiquement nulles ».

« Lors d’attaques de phishing, vous avez affaire à un individu dont le seul objectif est de voler vos fonds. Il n’y a pas de négociation, pas de point de contact et, bien souvent, aucune idée de l’identité de l’autre partie », a-t-il déclaré.

« Ces attaquants jouent sur les chiffres », a ajouté Derka, précisant que « une fois l’argent parti, il l’est pour toujours. La récupération est essentiellement impossible ».