Hacker transfère $10 millions de l'attaque de phishing vers Tornado Cash

Une attaque de phishing sophistiquée qui avait initialement compromis $24 millions d'actifs en cryptomonnaie a connu de nouveaux développements, alors que des chercheurs en sécurité blockchain ont identifié le transfert de $10 millions vers un service de mixage.

CertiK, une entreprise de sécurité blockchain de premier plan, a rapporté le 21 mars qu'un des portefeuilles impliqués dans un incident de phishing majeur de septembre 2023 a transféré 3 700 ETH ( environ $10 millions ) à Tornado Cash, un service de mélange de cryptomonnaies connu pour obscurcir les traces de transaction.

Les fonds proviennent d'une importante violation de sécurité survenue le 6 septembre 2023, lorsqu'un "whale" de la cryptomonnaie (, un individu détenant des actifs numériques substantiels, a perdu ) millions d'ETH stakés via le protocole de staking de liquidité Rocket Pool. L'attaque s'est déroulée en deux phases distinctes, avec 9 579 stETH retirés lors de la première violation, suivie du vol de 4 851 rETH dans une transaction ultérieure.

Analyse technique du vecteur d'attaque

Des chercheurs en sécurité du projet Scam Sniffer ont identifié que la vulnérabilité fondamentale exploitée dans cette attaque impliquait que la victime autorise une transaction "Augmenter l'Autorisation". Ce mécanisme technique critique au sein de la norme de jeton ERC-20 permet à des tiers de dépenser des jetons appartenant à un autre portefeuille, mais uniquement avec l'autorisation explicite du propriétaire.

L'attaquant a exploité cette fonctionnalité pour obtenir l'approbation du transfert des jetons de la victime vers des adresses sous son contrôle. Une fois accordées, ces autorisations ont permis à l'attaquant de vider systématiquement les avoirs de la victime à travers plusieurs transactions.

Cette exploitation a suscité des discussions significatives au sein des cercles de sécurité concernant les risques inhérents aux approbations de jetons, en particulier lors des interactions avec des contrats intelligents non vérifiés qui peuvent contenir un code malveillant conçu pour manipuler ces mécanismes d'autorisation.

Traçage des actifs volés

PeckShield, une autre société de sécurité blockchain surveillant l'incident, a documenté comment l'attaquant a converti les actifs volés en 13 785 ETH et environ 1,64 million de stablecoins Dai. L'attaquant a ensuite déplacé des portions des DAI vers l'échange FixedFload, tout en répartissant les fonds volés restants sur plusieurs portefeuilles pour compliquer les efforts de suivi.

Le récent transfert vers Tornado Cash représente une tentative significative d'obscurcir davantage l'origine de ces actifs obtenus illicitement, car les services de mixage mélangent des cryptomonnaies provenant de plusieurs sources pour rompre la connexion on-chain entre les adresses d'envoi et de réception.

Implications de sécurité plus larges

Cet incident met en évidence la menace persistante des attaques de phishing dans le secteur des cryptomonnaies. Selon un rapport de février du projet Scam Sniffer, près de $24 millions ont été perdus à cause des escroqueries liées au phishing rien qu'au cours de ce mois. Le rapport a en outre révélé que 78 % de ces vols se sont produits sur le réseau Ethereum, les tokens ERC-20 représentant 86 % de tous les fonds volés.

Les préoccupations en matière de sécurité concernant les approbations de jetons ont été renforcées par des incidents récents supplémentaires. Le 20 mars, un contrat obsolète précédemment utilisé par l'échange Dolomite a été exploité pour siphonner 1,8 million de dollars auprès des utilisateurs qui avaient précédemment accordé des autorisations au contrat. En réponse, l'équipe de développement de Dolomite a exhorté les utilisateurs à révoquer immédiatement toutes les approbations accordées à l'adresse du contrat compromis.

Exemples de réponse en matière de sécurité

Bien que certaines violations de sécurité entraînent des pertes financières significatives, des réponses rapides peuvent atténuer les dommages. Par exemple, lorsque le site Web de Layerswap a été compromis le 20 mars, la coordination rapide de l'équipe avec son fournisseur de domaine a aidé à contenir l'attaque. Malgré cette réponse rapide, environ 50 utilisateurs ont tout de même perdu des actifs d'une valeur de 100 000 $. Layerswap a ensuite annoncé un remboursement complet pour les utilisateurs concernés et une compensation supplémentaire pour l'incident.

L'augmentation de la sophistication des attaques de phishing souligne l'importance cruciale de la sensibilisation à la sécurité parmi les utilisateurs de cryptomonnaies. Une attention particulière doit être accordée à la révision et à la limitation des approbations de jetons, à la vérification des détails des transactions avant de signer et à la mise en œuvre de mesures de sécurité supplémentaires telles que les portefeuilles matériels pour les avoirs importants.

Comme ces incidents le démontrent, même les utilisateurs expérimentés de cryptomonnaies peuvent tomber victimes d'ingénierie sociale sophistiquée et d'exploits techniques. La collaboration continue entre les entreprises de sécurité, les développeurs de protocoles et les initiatives d'éducation des utilisateurs reste essentielle pour améliorer la posture de sécurité globale de l'écosystème des actifs numériques.