Je me souviens que quelqu'un dans le groupe a déjà partagé un dicton sage : « Si vous ne savez pas qui génère les bénéfices, alors c'est vous qui les générez. » Cela me parle vraiment. Le même principe s'applique à la sécurité d'utilisation des portefeuilles de crypto-monnaie. Si vous n'êtes pas sûr de ce qu'implique une action spécifique, alors chaque interaction sur la chaîne ou chaque signature que vous effectuez pourrait entraîner une perte des actifs de votre portefeuille.

Récemment, Scam Sniffer a publié un rapport sur le phishing pour la mi-2024 : rien qu'au cours du premier semestre de cette année, 260 000 victimes ont été victimes d'hameçonnage sur les chaînes EVM (chaînes basées sur Ethereum), entraînant des pertes totalisant 314 millions de dollars. Pour mettre cela en perspective, cela dépasse déjà les 295 millions de dollars perdus lors des attaques de phishing en 2023, et il a seulement fallu six mois pour atteindre ce chiffre, comme le montre le graphique ci-dessous.

Le rapport met en évidence que la plupart des vols de jetons ERC20 se produisent en signant des signatures de hameçonnage, telles que Permit (autorisations hors ligne), Increase Allowance (élargissement des limites d'autorisation) et Uniswap Permit2. Les attaques de phishing restent clairement une vulnérabilité importante de la sécurité on-chain.

Il y a quelques jours, un ami a rencontré un problème. Il y a deux mois, le 14 juin, ils ont effectué trois transferts de leur portefeuille Coinbase vers Binance (transferts de chaîne Ethereum). Le premier transfert a réussi, mais les deux autres ne sont jamais arrivés, et cela fait maintenant deux mois. Qu'est-ce qui a pu mal tourner?

J'ai vérifié les enregistrements de transaction sur Etherscan et n'ai trouvé qu'un seul transfert, sans trace des deux autres, comme le montre l'image ci-dessous.

En examinant de plus près toutes les transactions on-chain à partir du 14 juin, j'ai trouvé trois tentatives de transfert, mais les deux dernières ont été marquées comme des transactions échouées, comme le montre l'image ci-dessous.

J'ai ensuite cliqué sur l'une des transactions échouées (marquée comme "Échec") pour voir ce qui s'était passé. Le message d'erreur indiquait : "Erreur rencontrée lors de l'exécution du contrat." Selon la documentation officielle d'Etherscan, ce type d'erreur ne devrait pas entraîner une perte d'actifs du portefeuille. Les jetons ne quittent jamais le portefeuille de l'expéditeur dans de tels cas, bien que les frais de gaz soient toujours déduits. Cela est illustré dans l'image ci-dessous.

Pour résoudre ce genre de problème, voici ce qui doit être confirmé :

-Vérifiez si les fonds ont réellement été transférés ou perdus du portefeuille ce jour-là (c'est-à-dire si la transaction a échoué et que les fonds ne sont pas retournés au portefeuille).

-S'il est confirmé que les actifs ont été transférés ou perdus, vous devrez peut-être contacter le support client de la plateforme concernée. Dans de tels cas, il est préférable de contacter la plateforme responsable de l'envoi ou de l'initiation du retrait, car la plateforme ou l'adresse de réception ne pourra résoudre le problème.

Dans ce contexte, ma recommandation habituelle est qu'il est bon de tenir un journal détaillé des transactions, par exemple en utilisant Excel pour suivre vos transactions quotidiennes (achat/vente) et votre flux de trésorerie (revenus/dépenses). De cette façon, si des problèmes surviennent, vous pouvez comparer le journal avec les enregistrements de transaction on-chain pour une vérification croisée. Je tiens moi-même un tel journal, enregistrant chaque transaction en détail. J'ajoute également des notes sur mes expériences ou mes réflexions sur certaines transactions.

À ce stade, le problème semble être principalement compris. Cependant, en examinant l'historique des transactions sur la chaîne, j'ai découvert un problème encore plus grave avec le portefeuille de cet ami : il a été ciblé par des pirates informatiques !

Qu'est-il arrivé ? Prenons un peu plus près (comme indiqué dans l'image ci-dessous) :

Commençons par regarder la boîte rouge sur l'image (une transaction légitime) :

Le propriétaire du portefeuille venait de terminer un échange de 10 000 $ et avait transféré l'USDT vers un portefeuille commençant par 0x8F et se terminant par f103.

Maintenant, vérifiez la boîte verte (une transaction de phishing):

Immédiatement après, le pirate a créé plusieurs fausses transactions. Fait intéressant, l'adresse du portefeuille du pirate commence également par 0x8F et se termine par f103.

Comparons de plus près les adresses de portefeuille :

L'adresse réelle du propriétaire du portefeuille est :

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Les adresses des portefeuilles des pirates informatiques sont :

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

Remarquez-vous le problème ? Les quatre premiers et les quatre derniers caractères de ces adresses sont identiques, ce qui les rend presque identiques à première vue. Si vous copiez et collez une adresse directement à partir de l'historique des transactions sans vérification, vous pourriez facilement finir par envoyer de l'argent directement au pirate informatique.

Ainsi, il est clair que ce portefeuille a effectivement été ciblé par un pirate informatique essayant de voler des actifs. De plus, la page de hachage de transaction confirme cela - l'action de transaction est marquée comme Fake_Phishing, ce qui ne laisse aucun doute que c'est l'adresse d'un pirate informatique. Veuillez consulter l'image ci-dessous pour référence.

Conseil rapide : Pourquoi ne pouvez-vous pas voir les transactions invalides ou les transferts de valeur nulle sur Etherscan ? Comment pouvez-vous passer le navigateur Ethereum en chinois simplifié ?

Par défaut, Etherscan masque les transactions invalides et les transferts de valeur zéro. Si vous souhaitez les afficher, allez simplement sur la page des paramètres sur Etherscan et activez les options avancées. De même, si vous préférez utiliser l'interface en chinois simplifié, vous pouvez également ajuster cela dans les paramètres. Voir l'image ci-dessous pour référence. Alternativement, vous pouvez utiliser des explorateurs multi-chaînes tiers comme Oklink, qui prennent également en charge le chinois simplifié.

La sécurité des portefeuilles est quelque chose qui nécessite certainement une attention particulière, surtout pour les portefeuilles contenant des avoirs importants (plus de 1 million de dollars). Il est bon de répartir vos fonds sur différents portefeuilles en fonction de leur objectif pour renforcer la sécurité. Voici comment j'organise personnellement mes portefeuilles en niveaux :

Niveau 1 : Un portefeuille froid configuré sur un téléphone Apple, strictement pour le stockage à long terme. Il est conservé hors ligne et jamais utilisé pour des transactions ou des transferts. Je prévois de conserver ces actifs pendant au moins 10 ans sans les toucher. Si vous souhaitez utiliser un portefeuille froid pour des transactions, vous pourriez envisager d'acheter des portefeuilles matériels bien connus par le biais de canaux réputés (comme Trezor, Ledger, etc.).

Niveau 2 : Un portefeuille chaud pour des sommes plus importantes. J'utilise Trust Wallet et n'accorde aucune permission d'application décentralisée (dApp). Ce portefeuille est utilisé uniquement pour les transferts entre mes propres portefeuilles et les retraits ou les transferts vers Binance.

Niveau 3 : Des dizaines de petites portefeuilles, certains à des fins de test (comme interagir avec de nouveaux projets pour essayer leurs fonctionnalités ou attraper un airdrop de temps en temps), tandis que d'autres étaient utilisés pour acheter des altcoins ou des jetons mèmes (bien que j'en fasse moins ces dernières années). Chaque portefeuille ne contient que de petites sommes allant de quelques centaines à quelques milliers de dollars. Je suis plus détendu concernant les autorisations et les signatures avec ces portefeuilles, et même s'il y en a un qui se fait pirater, ce n'est pas grave. Gérer tous ces portefeuilles peut sembler fastidieux, mais cela en vaut la peine pour la sécurité supplémentaire.

En résumé, chacun a ses propres préférences quant à la façon dont il gère ses portefeuilles, en fonction de sa situation. Les utilisateurs expérimentés de crypto préfèrent souvent conserver leurs actifs sur la chaîne, mais pour la plupart des nouveaux venus, il est en fait plus sûr de stocker des actifs (moins de 100 000 $) sur des plateformes majeures comme Binance ou OKX.

Maintenant, parcourons quelques tactiques de phishing courantes :

1. Autoriser les attaques de phishing

Pour commencer, expliquons quelques concepts de base : Lorsque vous transférez des jetons sur Ethereum, vous interagissez généralement avec le contrat intelligent du jeton en utilisant la fonction de transfert ou la fonction de transfert depuis. La fonction de transfert est utilisée lorsque le propriétaire autorise directement le transfert de jetons vers une autre adresse, tandis que le transfert depuis permet à un tiers de déplacer des jetons d'une adresse à une autre.

Voici comment fonctionne une attaque de phishing par hameçonnage de permis:

Tout d'abord, l'attaquant trompe la victime en cliquant sur un lien de phishing ou en visitant un faux site Web, l'incitant à signer une transaction de portefeuille (hors chaîne).

Ensuite, l'attaquant utilise la fonction Permit pour obtenir l'autorisation.

Enfin, l'attaquant appelle la fonction Transfer From pour déplacer les actifs de la victime, complétant ainsi l'attaque de phishing.

Cette méthode de phishing a une caractéristique clé : après que l'attaquant ait accès à votre autorisation de signature, il peut exécuter les opérations Permit and Transfer From. La chose importante à noter est que l'autorisation ne s'affichera pas dans l'historique des transactions on-chain de la victime, mais elle sera visible dans l'activité de l'adresse de l'attaquant.

Généralement, ce genre d'attaques de phishing par signature sont des événements ponctuels, ce qui signifie qu'ils ne constituent pas une menace de phishing continue. En termes plus simples : une attaque de phishing par signature ne peut pas voler la phrase mnémonique de votre portefeuille (ou clé privée). Chaque tentative de phishing ne permet au pirate d'utiliser l'autorisation qu'une seule fois, et cela n'affecte que le jeton et la blockchain que vous avez autorisés (par exemple, si vous avez autorisé USDT, le pirate ne peut prendre que votre USDT). En d'autres termes, une seule signature de phishing donne une opportunité unique au pirate, sauf si vous commettez l'erreur de signer à nouveau à l'avenir, ce qui leur donne une autre chance d'exploiter votre portefeuille.

(Crédit image: bocaibocai@wzxznl)

2. Attaque de phishing de Permit2 Uniswap

Cette méthode de phishing est similaire à l'attaque de Permiso précédemment mentionnée, les deux impliquant le phishing de signature hors chaîne. Uniswap Permit2 est un contrat intelligent introduit par Uniswap en 2022. Selon Uniswap, c'est un contrat d'approbation de jeton conçu pour permettre le partage et la gestion des autorisations de jeton entre différentes applications, offrant une expérience utilisateur plus fluide, rentable et sécurisée. De nombreux projets ont maintenant intégré Permit2.

Récemment, j’ai lu quelques articles de bocaibocai (X@wzxznl) pour approfondir les mécanismes des attaques de phishing de Permit2. Voici un bref résumé:

Lorsque vous souhaitez effectuer un échange sur une bourse décentralisée (DEX), le processus traditionnel exige que vous autorisiez d'abord le DEX à accéder à vos jetons, puis effectuiez l'échange. Cela signifie généralement payer deux fois des frais de gaz, ce qui peut être gênant pour les utilisateurs. Permit2 simplifie ce processus en sautant l'étape d'approbation supplémentaire, réduisant ainsi efficacement les coûts d'interaction et améliorant l'expérience globale de l'utilisateur.

Essentiellement, Permit2 sert d'intermédiaire entre les utilisateurs et les dApps. Une fois que les utilisateurs autorisent Permit2, toute dApp intégrée à Permit2 peut partager cette limite d'autorisation. Cela permet non seulement de réduire les coûts et de rationaliser le processus pour les utilisateurs, mais aussi d'aider les dApps à attirer plus d'utilisateurs et de liquidités grâce à une expérience améliorée.

Ce qui semblait être une situation gagnant-gagnant peut aussi se transformer en une arme à double tranchant. Traditionnellement, les autorisations et les transferts de fonds impliquent des actions on-chain de la part de l’utilisateur. Mais avec Permit2, l’interaction de l’utilisateur est réduite à une signature off-chain, tandis que des intermédiaires comme le contrat Permit2 ou des projets intégrés à celui-ci gèrent les opérations on-chain. Ce changement offre des avantages en réduisant les frottements sur la chaîne pour les utilisateurs, mais il présente également des risques. Les signatures hors chaîne sont l’endroit où les utilisateurs abaissent souvent leurs défenses. Par exemple, lors de la connexion d’un portefeuille à certaines dApps, les utilisateurs sont invités à signer quelque chose, mais la plupart n’examinent pas attentivement ou ne comprennent pas le contenu de la signature (qui ressemble souvent à un fouillis de code). Ce manque d’examen peut être dangereux.

Une autre préoccupation majeure est que Permit2 autorise par défaut l'accès à l'intégralité de votre solde de jetons, quelle que soit la quantité que vous prévoyez d'échanger. Alors que des portefeuilles comme MetaMask vous permettent de définir une limite personnalisée, la plupart des utilisateurs vont probablement simplement cliquer sur «max» ou utiliser le paramètre par défaut. La valeur par défaut pour Permit2 est une autorisation illimitée, ce qui est particulièrement risqué. Voir l'image ci-dessous pour référence.

Cela signifie essentiellement que si vous avez interagi avec Uniswap et accordé une autorisation au contrat Permit2, vous êtes vulnérable à cette escroquerie de phishing.

Par exemple, supposons que Xiao Li ait utilisé Uniswap et ait autorisé une quantité illimitée de USDT au contrat Permit2. Plus tard, lors de transactions de portefeuille de routine, Xiao Li est tombé involontairement dans un piège d'hameçonnage impliquant Permit2. Une fois que le pirate a obtenu la signature de Xiao Li, il pouvait l'utiliser pour effectuer deux opérations clés sur le contrat Permit2 - Permit et Transfer From - afin de voler les actifs de Xiao Li.

Voici comment fonctionne cette attaque de phishing :

Avant la tentative d'hameçonnage, l'utilisateur avait déjà utilisé Uniswap et accordé des autorisations de jeton au contrat Uniswap Permit2 (avec une autorisation illimitée par défaut).

L'attaquant crée ensuite un faux lien ou un faux site de phishing, trompant l'utilisateur pour qu'il signe une transaction. Une fois la signature capturée, le pirate obtient toutes les informations dont il a besoin (cette étape est similaire au phishing par la méthode du Permis).

En utilisant cela, l'attaquant appelle la fonction Permit dans le contrat Permit2, complétant l'autorisation.

Enfin, l'attaquant appelle la fonction Transfer From au sein du contrat Permit2 pour transférer les actifs de la victime, achevant ainsi l'attaque de phishing.

En règle générale, ces attaques impliquent plusieurs adresses de réception. Certains sont utilisés uniquement pour des opérations d’hameçonnage (et peuvent même être conçus pour ressembler à l’adresse de la victime avec des caractères similaires au début et à la fin), tandis que d’autres appartiennent à des réseaux d’hameçonnage organisés (par exemple, les fournisseurs DaaS). L’industrie du phishing ciblant les portefeuilles de crypto-monnaies semble s’être transformée en un marché clandestin à grande échelle. Voir l’image ci-dessous.

Comment pouvez-vous vous protéger contre les attaques de phishing Permit et Permit2 ?

Une option consiste à utiliser des plugins de sécurité du navigateur comme Scamsniffer (j'utilise cela sur mon Google Chrome) pour bloquer les liens d'hameçonnage. De plus, vous pouvez vérifier régulièrement et révoquer toutes les autorisations ou signatures inutiles ou suspectes à l'aide d'outils comme Revoke Cash. Voir l'image ci-dessous pour un exemple.

Vous pouvez également utiliser un outil de gestion des autorisations spécialisé de Scamsniffer, conçu spécifiquement pour Uniswap Permit2, pour examiner régulièrement vos autorisations. Si quelque chose semble inhabituel, il est important de révoquer immédiatement les autorisations. Voir l'image ci-dessous.

Cela étant dit, l'aspect le plus crucial est de maintenir une forte conscience de la sécurité. Évitez de visiter des sites ou des liens inconnus et, lors de l'interaction avec des dApps, vérifiez toujours ce que vous autorisez.

(Crédit image : bocaibocai@wzxznl)

Astuce rapide: Comment savoir si une signature de portefeuille est pour Permit ou Permit2?

Lors de la signature, vous verrez certains détails dans la fenêtre de confirmation d'autorisation. Vous pouvez identifier le type de signature en regardant les champs clés comme ceux montrés dans l'image ci-dessous:

Propriétaire (l'adresse donnant l'autorisation); Bénéficiaire (l'adresse recevant l'autorisation); Valeur (le montant autorisé); Nonce (un nombre aléatoire unique); Date limite (la date d'expiration).

3. Attaque de phishing de réclamation

Ce type de phishing est très courant. Par exemple, si vous naviguez fréquemment sur X (anciennement Twitter), vous rencontrerez probablement des messages proposant des « largages aériens » gratuits. Parfois, vous pourriez même trouver des NFT aléatoires qui sont mystérieusement déposés dans votre portefeuille (qui pourrait inclure un lien vers un site Web).

Si vous cliquez sur un site de phishing et continuez avec un Réclamationlors d'une attaque, les actifs dans votre portefeuille pourraient être immédiatement volés par le pirate informatique.

Comment pouvez-vous vous protéger?

Tout d'abord, ne vous laissez pas prendre par des offres « trop belles pour être vraies » (évitez de cliquer sur des liens suspects ou d'accepter des NFT gratuits et des airdrops inconnus). Ensuite, vérifiez toujours le site web que vous utilisez pour vous assurer qu'il s'agit du site officiel légitime avant d'effectuer toute opération de réclamation.

4. Phishing de transfert d'adresse similaire

Le 3 mai de cette année, une baleine crypto est tombée victime d'une attaque de phishing utilisant une adresse similaire, perdant 1 155 WBTC (d'une valeur d'environ 70 millions de dollars à l'époque).

SlowMist a précédemment analysé cet événement en détail, je ne répéterai donc pas les détails ici. Si vous êtes curieux, vous pouvez revoir le cas ici :

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Ce type de hameçonnage est relativement simple :

Tout d'abord, le pirate génère un grand nombre d'adresses de phishing trompeuses qui ressemblent de près à l'adresse prévue de la victime, correspondant souvent aux 4 premiers et 6 derniers caractères.

Ensuite, ils déploient un programme en lot pour surveiller les activités on-chain de la victime, puis lancent une attaque de phishing en envoyant une adresse similaire juste avant la transaction prévue.

Enfin, lorsque la victime effectue un transfert, le pirate utilise une adresse semblable pour envoyer une transaction juste après. De cette façon, l'adresse de phishing apparaît dans l'historique des transactions de l'utilisateur. Voir l'image ci-dessous.

Parce que de nombreux utilisateurs ont l'habitude de copier les détails de transaction de leur historique de portefeuille, ils pourraient voir la transaction de phishing qui suit de près la leur et ne pas se rendre compte qu'ils ont copié la mauvaise adresse. Sans vérification minutieuse, ils pourraient finir par envoyer par erreur 1 155 WBTC à l'adresse de phishing.

Comment pouvez-vous prévenir cela?

Tout d'abord, enregistrez les adresses couramment utilisées dans le carnet d'adresses de votre portefeuille (ou mettez-les sur liste blanche), afin de pouvoir sélectionner la bonne adresse dans la liste la prochaine fois. Deuxièmement, vérifiez toujours l'adresse complète avant de transférer des fonds - ne vous fiez pas uniquement aux premiers ou derniers caractères. Lorsque vous effectuez un transfert important, il est conseillé d'envoyer d'abord une petite transaction de test pour vous assurer que tout est correct.

5. Hameçonnage de signature autorisée

Les méthodes Permit, Uniswap Permit2 et Claim mentionnées précédemment relèvent toutes de l'umbrella de l'hameçonnage d'autorisation. En fait, il existe de nombreuses façons pour les pirates informatiques d'exploiter les autorisations de portefeuille, telles que avec Approve (accorder la permission à une plateforme comme Uniswap d'utiliser votre USDT) et Increase Allowance (augmenter la limite de dépenses autorisée).

Le processus de phishing implique généralement que l'attaquant mette en place un faux lien ou un site Web, voire pirate un site de projet officiel, et intègre des logiciels malveillants, ce qui incite les utilisateurs à cliquer et à accorder sans le savoir une autorisation de portefeuille.

Les cinq méthodes de phishing discutées ne sont que quelques-unes des plus courantes. Les pirates informatiques inventent constamment de nouvelles méthodes d'attaque créatives. Comme le dit le dicton, "Les pirates informatiques resteront toujours un pas en avant." Cela signifie que la sécurité des portefeuilles est un défi permanent et que les utilisateurs doivent rester vigilants en tout temps.

Avertissement：

1. Cet article est reproduit à partir de [话李话外avec le titre "Votre portefeuille est-il toujours en sécurité ? Comment les hackers exploitent Permit, Uniswap Permit2 et les signatures pour le phishing. Tous les droits d'auteur appartiennent à l'auteur original [话李话外]. En cas d'objections à cette réimpression, veuillez contacter le Gate Learnl'équipe, et ils s'en occuperont rapidement.

2. Responsabilité décharge: Les points de vue et les opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.

3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mentionnéGate, copier, distribuer ou plagier les articles traduits est interdit.