Blockchain sécurité : le double défi des smart contracts et de l'ingénierie sociale

Les cryptomonnaies et la technologie Blockchain redéfinissent le concept de liberté financière, mais cette révolution a également entraîné de nouvelles menaces à la sécurité. Les escrocs ne se contentent plus d'exploiter des vulnérabilités techniques, mais transforment les smart contracts de la Blockchain elle-même en outils d'attaque. Grâce à des pièges d'ingénierie sociale soigneusement conçus, ils exploitent la transparence et l'irréversibilité de la Blockchain, transformant la confiance des utilisateurs en un moyen de voler des actifs. Des faux smart contracts à la manipulation des transactions inter-chaînes, ces attaques sont non seulement discrètes et difficiles à détecter, mais elles sont également plus trompeuses en raison de leur apparence "légitime". Cet article analysera des exemples pour révéler comment les escrocs transforment des protocoles en vecteurs d'attaque et proposera des solutions complètes allant de la protection technique à la prévention comportementale.

I. Comment un accord légal devient-il un outil de fraude ?

Les protocoles de Blockchain devraient garantir la sécurité et la confiance, mais les escrocs exploitent ses caractéristiques, en combinant la négligence des utilisateurs, pour créer diverses méthodes d'attaque sournoises. Voici quelques techniques courantes et leurs détails techniques :

(1) autorisation de smart contracts malveillants

Principe technique : Sur des blockchain comme Ethereum, la norme de jetons ERC-20 permet aux utilisateurs d'autoriser un tiers à retirer un certain nombre de jetons de leur portefeuille via la fonction "Approve". Cette fonctionnalité est largement utilisée dans les protocoles de finance décentralisée (DeFi), où les utilisateurs doivent autoriser des smart contracts pour effectuer des transactions, des mises ou du minage de liquidités. Cependant, les escrocs exploitent ce mécanisme pour concevoir des contrats malveillants.

Mode de fonctionnement : Les escrocs créent une application décentralisée (DApp) déguisée en projet légitime, souvent promue via des sites de phishing ou des réseaux sociaux. Les utilisateurs connectent leur portefeuille et sont incités à cliquer sur "Approve", ce qui semble autoriser un petit montant de jetons, mais qui pourrait en réalité être un montant illimité. Une fois l'autorisation terminée, l'adresse du contrat de l'escroc obtient les droits nécessaires pour appeler à tout moment la fonction "TransferFrom", permettant de retirer tous les jetons correspondants du portefeuille de l'utilisateur.

Cas d'utilisation réel : Début 2023, un site de phishing déguisé en "mise à niveau d'un certain DEX" a entraîné la perte de millions de dollars en USDT et ETH pour des centaines d'utilisateurs. Les données on-chain montrent que ces transactions sont entièrement conformes à la norme ERC-20, rendant difficile pour les victimes de récupérer leurs fonds par des moyens légaux, car l'autorisation a été signée volontairement.

(2) Signature de phishing

Principes techniques : Les transactions sur la Blockchain nécessitent que les utilisateurs génèrent une signature via leur clé privée pour prouver la légitimité de la transaction. Les portefeuilles affichent généralement une demande de signature, et une fois confirmée par l'utilisateur, la transaction est diffusée sur le réseau. Les escrocs profitent de ce processus pour falsifier des demandes de signature et voler des actifs.

Fonctionnement : L'utilisateur reçoit un e-mail ou un message instantané déguisé en notification officielle, par exemple "Votre airdrop NFT est prêt à être réclamé, veuillez vérifier votre portefeuille". En cliquant sur le lien, l'utilisateur est dirigé vers un site malveillant, lui demandant de connecter son portefeuille et de signer une "transaction de vérification". Cette transaction peut en réalité appeler la fonction "Transfer", transférant directement des ETH ou des jetons du portefeuille vers l'adresse du fraudeur ; ou bien il s'agit d'une opération "SetApprovalForAll", autorisant le fraudeur à contrôler la collection NFT de l'utilisateur.

Cas réel : Une communauté d'un projet NFT bien connu a été victime d'une attaque de phishing par signature, plusieurs utilisateurs ayant perdu des NFT d'une valeur de plusieurs millions de dollars en signant des transactions "faux airdrop". Les attaquants ont profité de la norme de signature EIP-712 pour falsifier des demandes apparemment sécurisées.

(3) Jetons frauduleux et "attaque par poussière"

Principes techniques : La transparence de la Blockchain permet à quiconque d'envoyer des jetons à n'importe quelle adresse, même si le destinataire n'a pas fait de demande active. Les escrocs exploitent cela en envoyant de petites quantités de cryptomonnaie à plusieurs adresses de portefeuille, afin de suivre l'activité des portefeuilles et de les lier aux individus ou entreprises possédant ces portefeuilles.

Mode de fonctionnement : Un attaquant envoie une petite quantité de jetons "dust" à différentes adresses, essayant de déterminer lesquelles appartiennent au même portefeuille. Ces jetons peuvent avoir des noms ou des métadonnées attrayants, incitant les utilisateurs à visiter un site web pour obtenir des détails. Les utilisateurs peuvent essayer de convertir ces jetons, permettant aux attaquants d'accéder au portefeuille de l'utilisateur via l'adresse du contrat jointe aux jetons. Plus discrète, l'attaque par "dust" peut également cibler les adresses de portefeuille actives de l'utilisateur en analysant ses transactions ultérieures, permettant ainsi d'exécuter des escroqueries plus précises.

Cas réel : Une attaque par "tokens GAS" a eu lieu sur le réseau Ethereum, affectant des milliers de portefeuilles. Certains utilisateurs ont perdu de l'ETH et des tokens ERC-20 par curiosité et interaction.

Deuxièmement, pourquoi ces escroqueries sont-elles difficiles à détecter ?

Ces arnaques réussissent en grande partie parce qu'elles se cachent dans les mécanismes légitimes de la Blockchain, rendant difficile pour les utilisateurs ordinaires de discerner leur nature malveillante. Voici quelques raisons clés :

• Complexité technique : le code des smart contracts et les demandes de signature sont obscurs et difficiles à comprendre pour les utilisateurs non techniques. Par exemple, une demande "Approve" peut apparaître sous la forme de données hexadécimales telles que "0x095ea7b3...", ce qui empêche l'utilisateur de juger facilement de sa signification.

• Légitimité sur la chaîne : toutes les transactions sont enregistrées sur la Blockchain, semblant transparentes, mais les victimes réalisent souvent après coup les conséquences de l'autorisation ou de la signature, et à ce moment-là, les actifs ne peuvent plus être récupérés.

• Ingénierie sociale : Les escrocs exploitent les faiblesses humaines, telles que la cupidité ("Recevez gratuitement 1000 dollars en tokens"), la peur ("Anomalie de compte nécessite vérification") ou la confiance (se faisant passer pour le service client).

• Déguisement subtil : les sites de phishing peuvent utiliser des URL similaires à celles des domaines officiels, voire augmenter leur crédibilité grâce à des certificats HTTPS.

Trois, comment protéger votre portefeuille de cryptomonnaies ?

Face à ces escroqueries technologiques et psychologiques, la protection des actifs nécessite une stratégie à plusieurs niveaux. Voici des mesures préventives détaillées :

Vérifiez et gérez les autorisations d'autorisation

• Utilisez l'outil d'autorisation du navigateur Blockchain pour vérifier les enregistrements d'autorisation du portefeuille.
• Révoquez régulièrement les autorisations inutiles, en particulier les autorisations illimitées pour les adresses inconnues.
• Avant chaque autorisation, assurez-vous que le DApp provient d'une source fiable.
• Vérifiez la valeur "Allowance", si elle est "illimitée" (comme 2^256-1), elle doit être immédiatement révoquée.

Vérifier le lien et la source

• Saisir manuellement l'URL officielle, éviter de cliquer sur les liens dans les réseaux sociaux ou les e-mails.
• Assurez-vous que le site utilise le bon nom de domaine et un certificat SSL (icône de cadenas vert).
• Faites attention aux fautes de frappe ou aux caractères superflus.
• Si vous recevez des variantes de noms de domaine suspects, suspectez immédiatement leur authenticité.

Utiliser un portefeuille froid et une signature multiple

• Stockez la plupart des actifs dans un portefeuille matériel et ne connectez le réseau que lorsque cela est nécessaire.
• Pour les actifs de grande valeur, utilisez des outils de signature multiple, exigeant la confirmation de la transaction par plusieurs clés.
• Même si le portefeuille chaud est compromis, les actifs en stockage à froid restent sécurisés.

Traitez les demandes de signature avec prudence

• Lors de chaque signature, lisez attentivement les détails de la transaction dans la fenêtre contextuelle du portefeuille.
• Utilisez la fonction "Decode Input Data" de l'explorateur de Blockchain pour analyser le contenu de la signature, ou consultez un expert technique.
• Créer un portefeuille indépendant pour les opérations à haut risque et y stocker une petite quantité d'actifs.

faire face aux attaques de poussière

• Après avoir reçu des jetons inconnus, n'interagissez pas. Marquez-les comme "spam" ou cachez-les.
• Vérifiez la source du jeton via le Blockchain explorer, si c'est un envoi en masse, soyez très vigilant.
• Évitez de rendre votre adresse de portefeuille publique, ou utilisez une nouvelle adresse pour des opérations sensibles.

Conclusion

En mettant en œuvre les mesures de sécurité ci-dessus, les utilisateurs peuvent réduire considérablement le risque de devenir victimes de programmes de fraude avancés, mais la véritable sécurité ne repose pas uniquement sur la technologie. Lorsque les portefeuilles matériels construisent une ligne de défense physique et que les signatures multiples dispersent le risque, la compréhension par les utilisateurs de la logique d'autorisation et leur prudence dans les comportements en chaîne sont le dernier rempart contre les attaques. L'analyse des données avant chaque signature et l'examen des autorisations après chaque autorisation sont des protections de leur souveraineté numérique.

À l'avenir, peu importe comment la technologie évolue, la ligne de défense la plus essentielle réside toujours dans : internaliser la conscience de la sécurité en tant qu'habitude, établir un équilibre entre confiance et vérification. Dans le monde de la Blockchain, chaque clic, chaque transaction est enregistré de manière permanente et ne peut être modifié. Par conséquent, rester vigilant et continuer à apprendre est crucial pour avancer en toute sécurité dans ce domaine en rapide évolution.