Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Marchés
Trader
Type de trading
Outils de trading
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Futures Kickoff
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
Investissement
Communauté
Square
Partagez votre message et restez informé sur les crypto et au-delà
Livemoments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Info
Ce qu'il se passe dans le monde de la crypto
rewards hub
Web3
Plus
Promotions
Le guide pour les débutants
rewards hub
Centre de récompenses
Posts
Plus récents
Populaire
Actualités
Profil

$10 Million en ETH déplacé vers Tornado Cash suite à une importante attaque de Phishing

nft_widowvip

Une violation de sécurité significative dans le domaine des cryptomonnaies a eu lieu en mars 2024 lorsqu'un attaquant a transféré $10 millions de dollars en Ethereum vers Tornado Cash, un service de mixage de cryptomonnaies. Ce transfert découle d'une attaque de phishing en septembre 2023 qui a réussi à compromettre un compte "whale".

Chronologie et détails de l'attaque

Le 21 mars, la société de sécurité blockchain CertiK a identifié une activité suspecte lorsqu'un compte impliqué dans un précédent hack de $24 millions a envoyé 3 700 Éther à Tornado Cash. Ces fonds provenaient d'une opération de phishing sophistiquée qui a visé un investisseur en cryptomonnaie de grande valeur le 6 septembre 2023.

L'attaque initiale s'est produite en deux phases distinctes, l'attaquant ayant d'abord retiré 9 579 stETH ( d'Éthereum, un jeton dérivé représentant l'ETH mis en jeu sur le réseau Ethereum), suivi du vol de 4 851 rETH (Rocket Pool ETH, une autre forme d'ETH mis en jeu) depuis le portefeuille de la victime.

Analyse technique de la méthode d'attaque

Selon le projet Scam Sniffer, une plateforme axée sur la détection de fraudes cryptographiques, la victime a été compromise après avoir autorisé une transaction "Augmenter l'Autorisation". Cette erreur de sécurité critique a permis à l'attaquant d'approuver des transferts de jetons à son propre avantage.

L'attaque a exploité le mécanisme d'approbation de la norme de jeton ERC-20, qui permet aux contrats intelligents de transférer des jetons au nom de leurs propriétaires lorsque l'autorisation appropriée est accordée. Bien que cette fonctionnalité soit essentielle pour de nombreuses applications DeFi légitimes, elle présente des risques de sécurité importants lorsqu'elle est manipulée par des acteurs malveillants.

PeckShield, une autre société de sécurité blockchain, a rapporté que l'attaquant a ensuite converti les actifs volés en 13 785 Éther et 1,64 million de Dai stablecoin. L'attaquant a ensuite distribué ces fonds sur plusieurs destinations, transférant une partie des DAI vers l'échange FixedFload tout en déplaçant les actifs volés restants vers diverses adresses de portefeuille.

Implications de sécurité plus larges

Les attaques de phishing demeurent l'une des menaces les plus répandues dans le secteur de la cryptomonnaie. Selon des données compilées par Scam Sniffer, rien qu'en février, on a enregistré près de $47 millions de pertes dues à des escroqueries liées au phishing.

Le rapport a souligné que 78 % de ces violations de sécurité ciblaient le réseau Ethereum, les jetons ERC-20 représentant 86 % de tous les fonds volés. Ce schéma souligne la vulnérabilité continue même des utilisateurs de crypto-monnaies expérimentés face à des tactiques d'ingénierie sociale sophistiquées.

Incidents de sécurité récents liés

L'industrie de la cryptomonnaie a récemment été témoin de plusieurs violations de sécurité similaires. Le 20 mars, un contrat obsolète précédemment utilisé par l'échange Dolomite a été exploité, entraînant le siphonnage de 1,8 million de dollars auprès des utilisateurs ayant accordé des autorisations au contrat. En réponse, les développeurs de Dolomite ont exhorté tous les utilisateurs à révoquer les autorisations précédemment accordées à l'adresse du contrat compromis.

Tous les incidents de sécurité ne se traduisent pas par des pertes irréversibles. Le même jour (mars 20), l'équipe de Layerswap a réussi à atténuer un compromis de site Web grâce à une action rapide de leur fournisseur de domaine. Malgré leur réponse rapide, les attaquants ont tout de même réussi à voler environ 100 000 $ à environ 50 utilisateurs. Layerswap s'est engagé à rembourser les utilisateurs affectés et à fournir une compensation supplémentaire pour le désagrément.

Recommandations de sécurité

Ces incidents soulignent des pratiques de sécurité critiques pour les détenteurs de crypto-monnaies :

  • Passez régulièrement en revue et révoquez les autorisations de jetons accordées aux contrats intelligents
  • Vérifiez tous les détails de la transaction avant de signer, en particulier les demandes "Approuver" ou "Augmenter l'allocation".
  • Utilisez des portefeuilles matériels et des solutions multi-signatures pour des avoirs importants
  • Mettre en œuvre des outils de surveillance des transactions pour détecter rapidement les activités suspectes

L'exploitation des fonctions d'approbation des jetons démontre l'importance d'une sensibilisation accrue à la sécurité parmi les utilisateurs de cryptomonnaies, en particulier concernant les mécanismes techniques qui pourraient potentiellement exposer leurs actifs au vol.

Alors que les attaquants continuent de développer des méthodes de plus en plus sophistiquées, la communauté des cryptomonnaies doit rester vigilante et donner la priorité à l'éducation à la sécurité pour réduire la prévalence et l'impact des attaques de phishing et d'autres activités frauduleuses dans l'écosystème.

ETH-0.99%
STETH-1.23%
DAI-0.08%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
0/400
Aucun commentaire
  • Épingler
plan du site
Trader les cryptos partout et à tout moment
qrCode
Scan pour télécharger Gate app
Communauté
Français (Afrique)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • À propos de nousCarrièresNewsroomSponsor de Oracle Red Bull Racing Partenaire officiel sur la manche du maillot de l’Inter de MilanConsulter les clauses contractuellesAvertissement Consulter les clauses contractuelles et notre Politique de confidentialitéPolitique des cookiesKit médiaPreuve de réservesLicenseSécuritéGateToken (GT)GUSDGate ChainGate EventsApplication de la loiSommetsGate Ventures
    Trading spotTrading FuturesAlphaMargeTokens à effet de levierNFTGate PayGate LifeGift CardGate OTCGate CharityBoutique GateGate Wallet
    Avantages VIPInstitutionnelCommentaires des utilisateursAnnoncesFraisAideEnvoyer une demandeListingVérifiez la sécurité d'un smart contractDéveloppeursRecherche de vérificationApplication pour les marchands P2PProgramme d'affiliationCalendrier CryptoSolution Cross-Chain de
    Gate LearnCours cryptoGlossaire des cryptomonnaiesCours des cryptomonnaiesBig DataHalving du BitcoinCrypto WikiCalculateur crypto
    Gate © 2013-2025.