Le Ice Phishing est une forme sophistiquée d’attaque de phishing qui se démocratise et cible le secteur de la blockchain et des cryptomonnaies. Aujourd’hui, il est essentiel de comprendre ce phénomène et comment s’en protéger dans le monde du Web3. Dans cet article, nous examinerons les subtilités de ces attaques et nous exposerons les conseils pour protéger vos actifs numériques.
Qu’est-ce que le ice phishing ?
L’ice phishing, également connu sous le nom de “phishing sur la blockchain”, est un type d’arnaque qui vise les utilisateurs de cryptomonnaies. Contrairement au phishing traditionnel, où les attaquants tentent de voler des identifiants de connexion ou des informations personnelles, l’ice phishing prend une voie plus directe : accéder et voler vos actifs numériques.
L’objectif principal de cette attaque est de tromper les utilisateurs pour qu’ils approuvent une transaction malveillante. Une fois signée, cette transaction permet à l’attaquant de siphonner les jetons du portefeuille de la victime et de les transférer vers le sien (détournant ainsi les fonds de leur propriétaire légitime). Ce type d’attaque est largement répandu dans les différentes méthodes de piratage connu à ce jour.
🚨 ❌️ 22 hacks ont été signalés en septembre.
355,91 millions de dollars auraient été dérobés.
Les 10 principaux hacks :
🔹️MixinNetwork
🔹️CoinEX
🔹️Stake
🔹️Whale Phishing
🔹️Fortress
🔹️HTX
🔹️Remitano
🔹️Mark Cuban hack
🔹️GMBL Computer
🔹️Vitalik hack sur X https://t.co/s4awIxfbDV pic.twitter.com/XKlOCwGnah— Goku 🗞 (@Crypto__Goku) October 1, 2023
Comment fonctionne cette arnaque ?
Pour bien comprendre l’ice phishing, il est essentiel de saisir les mécanismes de l’attaque. Voici un aperçu de la manière dont une attaque se déroule généralement :
- Transaction trompeuse : l’attaquant envoie une demande de transaction à la victime, souvent masquée en une interaction apparemment inoffensive ou légitime au sein d’une application décentralisée (dApp) ou d’un smart contract.
- Demande d’approbation : la victime est invitée à approuver la transaction, généralement avec une action routinière au sein de la dApp. Cette demande semble légitime et peut ne pas éveiller de suspicion dans l’immédiat.
- Transaction modifiée : à l’insu de la victime, l’attaquant a subtilement modifié les détails de la transaction, tels que l’adresse du destinataire. Les fonds seront ensuite redirigés vers le portefeuille de l’attaquant.
- Approbation accordée : la victime signe la transaction, pensant qu’elle est sûre. Une fois approuvée, les cryptomonnaies sont transférées vers l’adresse du hacker.
Le hack de Badger DAO
L’un des phishings les plus infâmes de ces dernières années est l’attaque de Badger DAO, qui a eu lieu entre novembre et décembre 2021. Badger DAO est un protocole de finance décentralisée (DeFi) qui permet aux utilisateurs de gagner des intérêts sur leurs dépôts de Bitcoin. Avec une valeur totale verrouillée (TVL) d’environ 978 millions de dollars à l’époque, elle était la cible parfaite pour les hackers.
Dans cette attaque, l’attaquant a compromis l’infrastructure front-end du smart contract Badger, obtenant ainsi l’accès à une clé API Cloudflare. Cette brèche a permis à l’attaquant d’injecter un script malveillant dans le front-end du contrat intelligent Badger. Le script incitait ensuite les utilisateurs à signer des transactions qui accordaient des approbations ERC-20 au compte de l’attaquant.
Avec ce stratagème, l’attaquant a pu drainer environ 121 millions de dollars sur 200 comptes en seulement 10 heures. Cet incident a souligné le besoin urgent de renforcer les mesures de sécurité au sein du Web3.
Se protéger contre le ice phishing
Voici plusieurs conseils pour vous protéger contre le phishing :
- Utiliser des URL confirmées : lorsque vous accédez à des dApps ou à des plateformes centralisées, assurez-vous d’utiliser des URL confirmées et vérifiées pour éviter de tomber dans le piège.
- Vérifier attentivement les détails de chaque transaction : avant d’approuver une quelconque transaction, examinez minutieusement les détails, notamment l’adresse du destinataire. Soyez prudent si quelque chose vous semble anormal. N’hésitez pas à révoquer toutes les approbations et les autorisations.
- L’audit des smart contracts : envisagez d’opter pour des services d’audit de smart contract. Évaluer la sécurité et l’exactitude des contrats intelligents avec lesquels vous interagissez. Les contrats audités sont généralement beaucoup plus sûrs.
- Vérification sur le wallet : Lorsque vous signez des transactions à l’aide de portefeuilles comme Metamask, examinez attentivement les détails de la transaction. Ils doivent bien correspondre à vos intentions.
- Stockage à froid (cold storage) : pour certains actifs long terme comme des NFT de valeur ou d’autres cryptomonnaies, envisagez de les stocker dans des portefeuilles à froid. Utilisez des hot wallets avec un petit solde pour les transactions quotidiennes et les interactions avec les dApps.
- Vérifier les contrats intelligents : vérifiez si les smart contracts avec lesquels vous interagissez ont des mécanismes contre le piratage, comme des fonctions de pause/dépause. Ces derniers peuvent offrir un meilleur contrôle et une meilleure sécurité.
- Vérifier le hash : Lorsque vous envoyez des paiements ou accordez l’accès à des crypto-actifs, vérifiez le hachage du contrat à l’aide d’explorateurs blockchain comme Etherscan ou Bscscan. Cette méthode vous assurera qu’il s’agit de la bonne entité.
- Privilégiez l’officiel : interagissez toujours avec les représentants officiels des projets blockchain ou des plateformes d’exchange. Faites attention aux personnes qui prétendent être le service client sur les réseaux sociaux ou sur Discord. Prouvez leur authenticité en vérifiant les urls officiels.
Source : Badger DAO
Sur le même sujet :
- Le compte X de Vitalik Buterin piraté pour mener une attaque de phishing ayant dérobé 700 000 $ en crypto et NFT
- Terra bloque temporairement l’accès à son site internet pour éviter d’autres arnaques par phishing
- Phishing : Trezor et The Sandbox mettent en garde leurs utilisateurs contre des communications frauduleuses