Alerte Sécurité : Des Hackers Vident les Portefeuilles EVM sur Ethereum et BNB - Voici Comment Ils Opèrent
Une nouvelle vague d'attaques ciblant les portefeuilles compatibles EVM frappe simultanément Ethereum et la BNB Chain. Les pirates exploitent une vulnérabilité pour siphonner les actifs sans autorisation.
Le mécanisme d'attaque contourne les signatures multiples et les gardes traditionnels. Les transactions apparaissent légitimes aux yeux des utilisateurs jusqu'à ce que leurs soldes atteignent zéro.
Les portefeuilles connectés à des DApps compromises semblent particulièrement vulnérables. Les experts recommandent de révoquer immédiatement toutes les autorisations de contrat et d'utiliser des portefeuilles matériels pour les actifs dormants.
Les plateformes concernées travaillent sur des correctifs, mais les fonds déjà volés restent probablement irrécupérables - une autre journée normale dans la finance décentralisée, où votre sécurité dépend souvent d'une extension de navigateur que vous avez installée en 2024.
Source : Enquêtes de ZachXBT sur Telegram.
Les portefeuilles sont acheminés vers l'adresse dent comme 0xAc2e…ad8Bf9bFB, qui, selon les données de la chaîne, contient des actifs provenant de près de 20 blockchains différentes.
Ethereum, BNB, Avalanche, Arbitrum parmi les chaînes EVM concernées
D'après les informations blockchain de Debank, partagées par l'enquêteur de 2D sur Telegram, le pirate informatique possédait environ 54 655 $ d'actifs sur Ethereum, soit 51 % de son solde total. La blockchain bnb suivait avec environ 25 545 $, soit 24 %.
Au moment de ce rapport, des soldes plus petits mais toujours notables ont également été enregistrés sur la couche 2 et sur des chaînes alternatives comme Base (8 688 $), Arbitrum (6 273 $), Polygon (3 498 $), Optimism (1 480 $), Zora (994 $), Linea (909 $) et avalanche (386 $).
Sur Twitter, des investisseurs spécialisés dans les cryptomonnaies suggèrent que le pirate informatique aurait pu utiliser de faux e-mails MetaMask envoyés pendant les fêtes pour inciter les traders à lui communiquer leurs phrases de récupération de portefeuille.
Cependant, selon une analyse de Nansen, l'adresse a été confirmée comme étant l'un des portefeuilles de l'attaquant lié à l'attaque de la chaîne d'approvisionnement de l'extension Chrome Trust Wallet « Shai-Hulud », l'dent de sécurité qui a commencé pendant la période de Noël.
Comme a rapporté Cryptopolitan la veille de Noël, un code malveillant a compromis la version 2.68 de l'extension de navigateur Trust Wallet, entraînant des pertes estimées à 7 millions de dollars.
« Nos secrets GitHub pour développeurs ont été exposés lors de l'attaque, ce qui a permis à l'attaquant d'accéder au code source de notre extension de navigateur et à la clé API du Chrome Web Store (CWS) », a expliqué Trust Wallet dans un rapport d'incident publié mardi dernier. « L'attaquant a obtenu un accès complet à l'API CWS grâce à la clé divulguée, ce qui lui a permis de télécharger des versions directement, sans passer par le processus de publication standard de Trust Wallet, qui exige une approbation interne et une vérification manuelle. »
Ils ont utilisé cet accès pour enregistrer le domaine « metrics-trustwallet[.]com » et ont distribué une version trojanisée de l'extension, avec une porte dérobée qui pouvait collecter les phrases mnémoniques du portefeuille des utilisateurs et les transmettre à « api.metrics-trustwallet[.]com »
Trust Wallet a indiqué qu'environ un million d'utilisateurs de son extension Chrome ont été invités à passer à la version 2.69 après que la mise à jour compromise a été diffusée sur la plateforme d'extensions du navigateur le 24 décembre.
« Sha1-Hulud était une attaque informatique de grande envergure visant la chaîne d'approvisionnement de logiciels et ayant touché des entreprises de plusieurs secteurs, notamment celui des cryptomonnaies », a déclaré l'entreprise. Cette révélation a mis en lumière Shai-Hulud 3.0, une nouvelle version du logiciel malveillant que les chercheurs considèrent comme une version furtive du code original.
« La principale différence réside dans l’obfuscation des chaînes de caractères, la gestion des erreurs et la compatibilité avec Windows, le tout visant à accroître la durée de vie des campagnes plutôt qu’à introduire de nouvelles techniques d’exploitation », ont déclaré Guy Gilad et Moshe Hassan, chercheurs chez Upwind.
Nansen s'attend à ce que les jetons volés transitent par les plateformes Tornado Cash, eXch, Railgun, THORChain, Debridge et tron OTC.
Les arnaques par courriel pendant les fêtes de fin d'année devraient envahir Noël en 2025, un record
Début décembre, le Centre de plaintes pour la cybercriminalité du FBI a envoyé des avertissements aux Américains concernant les courriels frauduleux et d'hameçonnage, indiquant que les citoyens avaient perdu plus de 785 millions de dollars par an à cause d'escroqueries liées au non-paiement et à la non-livraison pendant les fêtes, la fraude à la carte de crédit ajoutant 199 millions de dollars supplémentaires.
Par ailleurs, les sociétés de surveillance de la blockchain Chainalysis et TRM Labs estiment que les cybercriminels ont dérobé 2,7 milliards de dollars en cryptomonnaies l'an dernier, un record annuel. La plus importante cyberattaque a eu lieu chez Bybit, plateforme d'échange basée à Dubaï, où les pirates ont dérobé environ 1,4 milliard de dollars.
Cette attaque a surpassé les précédents vols de cryptomonnaies ayant établi des records, notamment le piratage du réseau Ronin (624 millions de dollars) et celui du réseau Poly (611 millions de dollars) en 2022.
D'après Chainalysis et Elliptic, la plupart des vols de cryptomonnaies commis en Corée du Nord sont imputables à desdentinformatiques liés à l'État, qui ont dérobé au moins 2 milliards de dollars au cours de l'année. Depuis 2017, ces groupes auraient dérobé environ 6 milliards de dollars en cryptomonnaies, censés avoir servi à financer le programme d'armement nucléaire nord-coréen, pourtant soumis à des sanctions.
Inscrivez-vous sur Bybit et commencez à trader avec 30 050 $ en cadeaux de bienvenue
