Les données d’Etherscan montrent que certains crypto-escrocs ciblent les utilisateurs avec une nouvelle astuce qui leur permet de confirmer une transaction depuis le portefeuille de la victime, mais sans avoir la clé privée de la victime. L’attaque ne peut être effectuée que pour les transactions de valeur 0. Cependant, certains utilisateurs pourraient envoyer accidentellement des jetons à l’attaquant à la suite d’un copier-coller à partir d’un historique des transactions piratées.
Société de sécurité blockchain SlowMist Découverte la nouvelle technique en décembre et l’a révélée dans un article de blog. Depuis lors, SafePal et Etherscan ont mis en œuvre des techniques d’atténuation pour limiter son effet sur les utilisateurs, mais certains utilisateurs peuvent encore ignorer son existence.
Nous avons récemment reçu des rapports de la communauté concernant un nouveau type d’escroquerie : Zero Transfer Scam. Soyez prudent si vous voyez un transfert 0 suspect dans votre dossier de portefeuille :
1/10
—Véronique (@V_SafePal) 14 décembre 2022
Selon le message de SlowMist, l’arnaque fonctionne en envoyant une transaction de zéro jeton du portefeuille de la victime à une adresse similaire à celle où la victime a précédemment envoyé les jetons.
Par exemple, si la victime a envoyé 100 pièces à une adresse de dépôt d’échange, l’attaquant pourrait envoyer zéro pièce du portefeuille de la victime à une adresse qui semble similaire mais qui est, en fait, sous le contrôle de l’attaquant. La victime peut voir cette transaction dans l’historique des transactions et conclure que l’adresse indiquée est la bonne adresse de dépôt. En conséquence, ils peuvent envoyer leurs pièces directement à l’attaquant.
Envoi d’une transaction sans l’autorisation du propriétaire
Dans des circonstances normales, un attaquant a besoin de la clé privée de la victime pour envoyer une transaction depuis le portefeuille de la victime. Mais la fonction « carte de contrat » d’Etherscan révèle qu’il existe une faille dans certains contrats de jetons qui peuvent permettre à un attaquant d’envoyer une transaction à partir de n’importe quel portefeuille.
Par exemple, le code pour USD Coin (USDC) sur Etherscan Montre que la fonction « TransferFrom » permet à toute personne de déplacer des pièces du portefeuille d’une autre personne tant que la quantité de pièces qu’elle envoie est inférieure ou égale au montant autorisé par le propriétaire de l’adresse.
Cela signifie généralement qu’un attaquant ne peut pas effectuer une transaction à partir de l’adresse d’une autre personne à moins que le propriétaire n’approuve une indemnité pour eux.
Cependant, il y a une faille dans cette restriction. Le montant autorisé est défini comme un nombre (appelé « type uint256 »), ce qui signifie qu’il est interprété comme zéro sauf s’il est spécifiquement défini sur un autre nombre. Cela peut être vu dans la fonction « allocation ».
Par conséquent, tant que la valeur de transaction de l’attaquant est inférieure ou égale à zéro, il peut envoyer une transaction depuis n’importe quel portefeuille qu’il souhaite, sans avoir besoin de la clé privée ou de l’approbation préalable du propriétaire.
L’USDC n’est pas le seul jeton qui vous permet de le faire. Un code similaire peut être trouvé dans la plupart des contrats de jeton. Il peut même être trouvé dans les exemples de contrats liés sur le site officiel de la Fondation Ethereum.
Exemples d’arnaque au transfert de valeur zéro
Etherscan montre que certaines adresses de portefeuille envoient des milliers de transactions à valeur nulle par jour à partir des portefeuilles de diverses victimes sans leur consentement.
Par exemple, un compte étiqueté Fake_Phishing7974 a utilisé un contrat intelligent non vérifié pour éxécuter plus de 80 forfaits transactionnels le 12 janvier, avec chaque forfait contenant 50 transactions à valeur nulle pour un total de 4 000 transactions non autorisées en une journée.
Adresses trompeuses
Un examen plus approfondi de chaque transaction révèle le motif de ce spam : l’attaquant envoie des transactions de valeur nulle à des adresses qui ressemblent beaucoup à celles où les victimes avaient précédemment envoyé des fonds.
Par exemple, Etherscan montre que l’une des adresses des utilisateurs ciblés par l’attaquant est la suivante :
0x20d7f90d9c40901488a935870e1e80127de11d74.
Le 29 janvier, ce compte a autorisé l’envoi de 5 000 Tether (USDT) à cette adresse de réception :
0xa541efe60f274f813a834afd31e896348810bb09.
Peu de temps après, Fake_Phishing7974 a envoyé une transaction de valeur nulle depuis le portefeuille de la victime à cette adresse :
0xA545c8659B0CD5B426A027509E55220FDa10bB09.
Les cinq premiers caractères et les six derniers caractères de ces deux adresses de réception sont exactement les mêmes, mais les caractères du milieu sont tous complètement différents. L’attaquant peut avoir voulu que l’utilisateur envoie des USDT à cette deuxième (fausse) adresse au lieu de la vraie, donnant ses pièces à l’attaquant.
Dans ce cas particulier, il semble que l’arnaque n’a pas fonctionné, car Etherscan ne montre aucune transaction de cette adresse vers l’une des fausses adresses créées par l’escroc. Mais étant donné le volume de transactions à valeur nulle effectuées à partir de ce compte, le plan a peut-être fonctionné dans d’autres cas.
Les portefeuilles et les explorateurs de blocs peuvent varier considérablement dans la manière dont ils affichent des transactions trompeuses.
Portefeuilles
Certains portefeuilles peuvent ne pas afficher du tout les transactions de spam. Par exemple, MetaMask n’affiche aucun historique des transactions s’il est réinstallé, même si le compte lui-même a des centaines de transactions sur la blockchain. Cela implique qu’il stocke son propre historique de transactions plutôt que d’extraire des données de la blockchain. Cela devrait empêcher les transactions de spam d’apparaître dans l’historique des transactions de votre portefeuille.
D’un autre côté, si le portefeuille extrait les données directement de la blockchain, les transactions de spam peuvent apparaître sur l’écran du portefeuille. Dans une annonce du 13 décembre sur Twitter, Veronica Wong, PDG de SafePal averti Les utilisateurs de SafePal que votre portefeuille peut afficher les transactions. Pour atténuer ce risque, il a déclaré que SafePal modifiait la façon dont les adresses sont affichées dans les nouvelles versions de son portefeuille pour faciliter l’inspection des adresses par les utilisateurs.
(6/10) Sur ce, nous avons pris des mesures :
1) Dans la dernière mise à jour V3.7.3, nous avons modifié la longueur de l’adresse du portefeuille affichée dans l’historique des transactions. Les 10 premiers et derniers chiffres de l’adresse du portefeuille seront affichés par défaut, à des fins d’examen de l’adresse—Véronique (@V_SafePal) 14 décembre 2022
En décembre, un utilisateur a également signalé que son portefeuille Trezor était visualisation opérations trompeuses.
Cointelegraph a contacté le développeur de Trezor SatoshiLabs par e-mail pour commentaires. En réponse, un représentant a déclaré que le portefeuille extrait l’historique des transactions directement de la blockchain « chaque fois que les utilisateurs connectent leur portefeuille Trezor ».
Cependant, l’équipe prend des mesures pour protéger les utilisateurs de l’arnaque. Dans une prochaine mise à jour de Trezor Suite, le logiciel « marquera les transactions suspectes comme une valeur nulle afin que les utilisateurs soient avertis que ces transactions sont potentiellement frauduleuses ». La société a également déclaré que le portefeuille affiche toujours l’adresse complète de chaque transaction et qu’elle « recommande fortement aux utilisateurs de toujours vérifier l’adresse complète, pas seulement le premier et le dernier caractère ».
Bloquer les explorateurs
Outre les portefeuilles, les explorateurs de blocs sont un autre type de logiciel qui peut être utilisé pour afficher l’historique de vos transactions. Certains explorateurs peuvent afficher ces transactions d’une manière qui induit les utilisateurs en erreur par inadvertance, tout comme le font certains portefeuilles.
Pour atténuer cette menace, Etherscan a commencé à désactiver les transactions de jeton à valeur nulle qui ne sont pas initiées par l’utilisateur. Il marque également ces transactions avec un avis indiquant : « Il s’agit d’un transfert de jeton de valeur zéro initié à partir d’une autre adresse », comme en témoigne l’image ci-dessous.
D’autres explorateurs de blocs peuvent avoir suivi les mêmes étapes qu’Etherscan pour alerter les utilisateurs de ces transactions, mais certains n’ont peut-être pas encore mis en œuvre ces étapes.
Conseils pour éviter l’astuce du « Transfert à partir de la valeur zéro ».
Cointelegraph a contacté SlowMist pour obtenir des conseils sur la façon d’éviter de tomber dans le piège du « transfert à valeur zéro ».
Un représentant de l’entreprise a fourni à Cointelegraph une liste de conseils pour éviter d’être victime de l’attaque :
- « Soyez prudent et vérifiez l’adresse avant d’effectuer toute transaction. »
- « Utilisez la fonction de liste blanche de votre portefeuille pour éviter que les fonds ne soient envoyés aux mauvaises adresses. »
- « Restez vigilant et informé. Si vous rencontrez des virements suspects, prenez le temps d’enquêter calmement pour éviter d’être victime d’escrocs. »
- « Maintenez un niveau sain de scepticisme, restez toujours prudent et vigilant. »
À en juger par ce conseil, la chose la plus importante à retenir pour les utilisateurs de crypto-monnaie est de toujours vérifier l’adresse avant de leur envoyer des crypto-monnaies. Même si l’enregistrement de la transaction semble impliquer que vous avez déjà envoyé des crypto-monnaies à l’adresse, cette apparence peut être trompeuse.
