alerte metamask le copier coller des adresses de portefeuille compromis
Actualités Crypto-monnaies, Actualités sur Blockchain, Actualités sur l'Ethereum, Toute l'actualité

Alerte sur Metamask : le copier-coller des adresses de portefeuille n’est plus sûr

Jérôme Moreau Rédacteur
metamask hack
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

 

Que l’on soit en marché haussier ou baissier, il y a quelque chose qui ne change pas : les piratages. Cette fois c’est Metamask qui met en lumière un nouveau type d’attaque dont le succès repose sur l’inattention d’un détenteur de wallet : l’”adress poisoning”, littéralement l’empoisonnement d’adresse.

Adress poisoning : le nouveau type d’attaque qui menace les adresses Ethereum et BSC

Commençons par le thread détaillé de Metamask, qui a alerté sa communauté le 11 janvier :

L’attaque tente d’exploiter les similarités entre les adresses de portefeuille, et consiste à substituer une adresse “empoisonnée” à une adresse légitime au moment d’un transfert de cryptos. Exemple :

  • 0x49f647aef40e37C4D0B612e0aaD1FC2F9A29996c ✅ l’adresse à laquelle vous souhaitez envoyer des ethers,
  • 0x304fe0ee3d235025c50653B8B33f6e3e50D9996c ❌ l’adresse du pirate “empoisonnée”.

Comment s’y prend le pirate ? Tout d’abord il recherche sur la blockchain des adresses Ethereum qui s’échangent régulièrement des jetons. C’est souvent le signe que les deux adresses sont contrôlées par la même personne. Appelons-les adresse A et adresse B.

Il va ensuite utiliser un outil très particulier pour générer une adresse Ethereum très similaire à l’adresse B. En l’occurrence, il s’agit de l’outil Vanity-ETH. Muni de cette adresse, il va envoyer une petite quantité de tokens à l’adresse A qu’il souhaite siphonner. Le but : que l’adresse “empoisonnée” apparaisse comme l’une plus récentes dans l’historique des envois à l’adresse A.

De cette manière, si le détenteur de l’adresse A manque de vigilance, et ne compte que sur les 4 derniers caractères, il croira effectivement que l’adresse empoisonnée est bien l’adresse B qui lui envoie habituellement des tokens … Au prochain transfert, il copiera malheureusement l’adresse empoisonnée comme destinataire de ses précieux ethers !

Vanity-ETH sur CoinTool.app – Adresse générée avec le suffixe “9996c”
cryptonaute twitter

Un problème déjà soulevé début décembre par la communauté

L’alerte et la mise à jour de sécurité ont été accueillies avec une certaine fraîcheur par la communauté. Et pour cause, elle pense que Metamask a réagi (beaucoup) trop tard. Un utilisateur de Twitter, Tuzun (0xTuzun), avait déjà alerté le public et interpellé Metamask sur ce type d’incident dès le 2 décembre dernier. Il a ensuite donné des chiffres précis quant à l’étendue des portefeuilles touchés :

Selon Tuzun, plus de 340 000 adresses ont été empoisonnées depuis décembre, détournant les envois de tokens réalisés à près 95 portefeuilles. Le tout pour un préjudice qu’il estime à 1,6 million de dollars. L’analyste évalue le coût total des attaques à un peu plus de 25 000 $ (les fameux envois de tokens pour figurer dans l’historique des victimes, rappelez-vous), soit un confortable marge de 6000 % pour les pirates …

L’exploitation des adresses BSC et ETH remonte respectivement au 22 novembre pour les premières attaques, avec un large éventail d’attaques réalisées aux horaires de travail asiatiques, laissant penser que les attaquants seraient localisés dans le Sud-Est du continent.

La communauté n’a pas manqué de rappeler à Metamask que Tuzun avait même  retrouvé certains des coupables, en utilisant la plateforme de surveillance on-chain Xplore. Idem pour les mesasges de Tuzun recommandant à MetaMask de mettre à niveau son interface utilisateur pour permettre aux utilisateurs d’identifier les adresses de portefeuille dans l’historique des transactions par des marqueurs de couleur.

Évitez le copier-coller d’adresses, ne faites pas l’économie de la prudence

Pour le moment, le problème est bien réel car on ne peut empêcher les envois de tokens à votre adresse Ethereum. Il vous reste la vigilance : évitez de copier-coller les dernières adresses de votre historique de transaction.

Ne faites pas l’économie de la prudence, et consultez votre historique pour vous assurer qu’il s’agit bien de la bonne adresse, du préfixe au suffixe.

Sur Twitter, le hashtag #REKT rassemble les investisseurs désabusés qui “se sont fait avoir”. Le vocable est en fait le raccourci de “wrecked”, une expression qui nous vient du gaming. A côté des investisseurs qui racontent leurs déconvenues, vous avez donc des trolls qui, à coup de mèmes “rekt”, se moquent joyeusement des premiers. Car les piratages quels qu’ils soient ont un dénominateur commun : une erreur humaine, souvent liée à la naïveté.


Sources : Twitter, Metamask


Dernières actualités sur les hacks :

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Jérôme Moreau Rédacteur

Jérôme Moreau Rédacteur

Après un master en finance d'entreprise, et de nombreuses années d'expérience dans ce même domaine, j'ai décidé de me lancer dans l’aventure de la rédaction web. Avare de nouvelles technologies, j'aime ce que les cryptomonnaies apportent à l’univers de la finance.
Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram