Que l’on soit en marché haussier ou baissier, il y a quelque chose qui ne change pas : les piratages. Cette fois c’est Metamask qui met en lumière un nouveau type d’attaque dont le succès repose sur l’inattention d’un détenteur de wallet : l’”adress poisoning”, littéralement l’empoisonnement d’adresse.
Adress poisoning : le nouveau type d’attaque qui menace les adresses Ethereum et BSC
Commençons par le thread détaillé de Metamask, qui a alerté sa communauté le 11 janvier :
A new scam called ‘Address Poisoning’ is on the rise. Here’s how it works: after you send a normal transaction, the scammer sends a $0 token txn, ‘poisoning’ the txn history. (1/3)
— MetaMask Support (@MetaMaskSupport) January 11, 2023
L’attaque tente d’exploiter les similarités entre les adresses de portefeuille, et consiste à substituer une adresse “empoisonnée” à une adresse légitime au moment d’un transfert de cryptos. Exemple :
- 0x49f647aef40e37C4D0B612e0aaD1FC2F9A29996c ✅ l’adresse à laquelle vous souhaitez envoyer des ethers,
- 0x304fe0ee3d235025c50653B8B33f6e3e50D9996c ❌ l’adresse du pirate “empoisonnée”.
Comment s’y prend le pirate ? Tout d’abord il recherche sur la blockchain des adresses Ethereum qui s’échangent régulièrement des jetons. C’est souvent le signe que les deux adresses sont contrôlées par la même personne. Appelons-les adresse A et adresse B.
Il va ensuite utiliser un outil très particulier pour générer une adresse Ethereum très similaire à l’adresse B. En l’occurrence, il s’agit de l’outil Vanity-ETH. Muni de cette adresse, il va envoyer une petite quantité de tokens à l’adresse A qu’il souhaite siphonner. Le but : que l’adresse “empoisonnée” apparaisse comme l’une plus récentes dans l’historique des envois à l’adresse A.
De cette manière, si le détenteur de l’adresse A manque de vigilance, et ne compte que sur les 4 derniers caractères, il croira effectivement que l’adresse empoisonnée est bien l’adresse B qui lui envoie habituellement des tokens … Au prochain transfert, il copiera malheureusement l’adresse empoisonnée comme destinataire de ses précieux ethers !
Un problème déjà soulevé début décembre par la communauté
L’alerte et la mise à jour de sécurité ont été accueillies avec une certaine fraîcheur par la communauté. Et pour cause, elle pense que Metamask a réagi (beaucoup) trop tard. Un utilisateur de Twitter, Tuzun (0xTuzun), avait déjà alerté le public et interpellé Metamask sur ce type d’incident dès le 2 décembre dernier. Il a ensuite donné des chiffres précis quant à l’étendue des portefeuilles touchés :
MetaMask finally documents the address poisoning attack after 2+ months.
Also read https://t.co/l24rQKy9OL
To users: An address that looks like yours could be generated in a second.
To infrastructure builders: It’s your responsibility to warn users in UI against this attack. https://t.co/lz3bXmjnDI
— Han Tuzun (tuzun.eth & tuzun.lens) #DevconIstanbul (@0xTuzun) January 12, 2023
Selon Tuzun, plus de 340 000 adresses ont été empoisonnées depuis décembre, détournant les envois de tokens réalisés à près 95 portefeuilles. Le tout pour un préjudice qu’il estime à 1,6 million de dollars. L’analyste évalue le coût total des attaques à un peu plus de 25 000 $ (les fameux envois de tokens pour figurer dans l’historique des victimes, rappelez-vous), soit un confortable marge de 6000 % pour les pirates …
L’exploitation des adresses BSC et ETH remonte respectivement au 22 novembre pour les premières attaques, avec un large éventail d’attaques réalisées aux horaires de travail asiatiques, laissant penser que les attaquants seraient localisés dans le Sud-Est du continent.
La communauté n’a pas manqué de rappeler à Metamask que Tuzun avait même retrouvé certains des coupables, en utilisant la plateforme de surveillance on-chain Xplore. Idem pour les mesasges de Tuzun recommandant à MetaMask de mettre à niveau son interface utilisateur pour permettre aux utilisateurs d’identifier les adresses de portefeuille dans l’historique des transactions par des marqueurs de couleur.
Évitez le copier-coller d’adresses, ne faites pas l’économie de la prudence
Pour le moment, le problème est bien réel car on ne peut empêcher les envois de tokens à votre adresse Ethereum. Il vous reste la vigilance : évitez de copier-coller les dernières adresses de votre historique de transaction.
Ne faites pas l’économie de la prudence, et consultez votre historique pour vous assurer qu’il s’agit bien de la bonne adresse, du préfixe au suffixe.
Sur Twitter, le hashtag #REKT rassemble les investisseurs désabusés qui “se sont fait avoir”. Le vocable est en fait le raccourci de “wrecked”, une expression qui nous vient du gaming. A côté des investisseurs qui racontent leurs déconvenues, vous avez donc des trolls qui, à coup de mèmes “rekt”, se moquent joyeusement des premiers. Car les piratages quels qu’ils soient ont un dénominateur commun : une erreur humaine, souvent liée à la naïveté.
Sources : Twitter, Metamask
Dernières actualités sur les hacks :
- Entre hacks de clés privées et scam tokens, les 5 types de piratage qui ont coûté des fortunes aux investisseurs en 2022
- Un mois record dans l’histoire des hacks crypto !