Sécurité

Alerte de sécurité Web3 – Autorisations malveillantes

Débutant

2025-06-03 | 5m

Qu'est-ce qu'une escroquerie par autorisation malveillante ?

Les autorisations malveillantes sont l'une des escroqueries les plus répandues, les plus dangereuses et les plus préjudiciables du Web3, affectant un nombre incalculable d'utilisateurs.

Dans le Web3, chaque fois que vous interagissez avec un contrat intelligent, il vous est souvent demandé d'accorder certaines autorisations en signant une transaction. En voici quelques exemples :

● Approuver une DApp pour accéder à vos tokens (par exemple, approbation ERC-20)

● Accorder à un contrat l'autorisation de transférer vos NFT (setApprovalForAll)

● Effectuer des actions on-chain qui semblent inoffensives, comme la connexion ou la vérification

Les escroqueries par autorisation malveillante tirent parti de ces actions en vous incitant à donner à un contrat malveillant la permission de transférer vos actifs.

Caractéristiques principales

1. Tromper les utilisateurs pour qu'ils accordent des autorisations dangereuses

Les escrocs se déguisent en DApps, airdrops ou projets NFT légitimes. Ils vous incitent à cliquer sur un bouton d'autorisation, mais en réalité, vous permettez des actions telles que [approve] (accès aux tokens) ou [setApprovalForAll] (accès aux NFT) pour un contrat malveillant.

2. Vos actifs sont vidés sans transfert

Vous n'avez pas initié de transfert, vous avez simplement cliqué sur "Confirmer". Mais une fois que l'escroc a obtenu l'autorisation, il peut faire appel aux fonctionnalités on-chain pour vider votre portefeuille à tout moment, sans avoir besoin d'une validation ou d'une signature de votre part.

3. Les autorisations sont souvent illimitées

La plupart des contrats frauduleux demandent l'autorisation de la valeur maximale possible (2^256 – 1), ce qui leur donne un accès illimité et permanent à vos actifs.

4. Le contrat ne fait rien d'autre

Les contrats frauduleux sont passifs, ils ne volent pas activement des fonds de leur propre chef. Tout repose sur le fait que vous signez volontairement l'autorisation, ce qui leur permet de contourner la détection traditionnelle des fraudes et les avertissements.

5. Invitations trompeuses à signer

Les messages d'autorisation du portefeuille sont souvent confus – soit trop complexes, soit trop simplifiés – ce qui rend difficile l'analyse de ce que vous signez. La plupart des utilisateurs pensent qu'il s'agit "d'une simple autorisation" et cliquent sur "Confirmer" sans se rendre compte des risques importants que cela implique.

Scénarios courants

1. Faux airdrops ou pages de frappe de NFT

La page peut annoncer des "airdrops à durée limitée" ou des événements de "frappe gratuite". Cliquer sur le bouton déclenche une demande d'autorisation pour vos USDT [approve] ou vos NFT [setApprovalForAll] – une fois l'autorisation obtenue, les escrocs peuvent drainer vos actifs à tout moment.

2. Faux DEX ou plateformes de swap

Vous connectez votre portefeuille Bitget à un faux DEX et essayez d'échanger de l'USDC contre un nouveau token. Le site n'initie pas réellement de swap, il vous demande simplement une "Autorisation USDC". Une fois cette opération effectuée, vos fonds sont volés à l'aide d'un contrat malveillant.

3. Faux staking, farming ou plateformes de gaming

Vous êtes invité à "staker des tokens" ou à "commencer à jouer" sur une application DeFi ou GameFi. Le site demande l'autorisation d'un token/NFT. La plateforme entière est une façade pour des contrats malveillants qui dérobent vos actifs une fois l'autorisation confirmée.

4. Front-end piraté de projets légitimes

Les attaquant compromettent des sites de projet de confiance ou détournent des enregistrements DNS, injectant des scripts malveillants pour remplacer le vrai contrat par un contrat d'hameçonnage. Les utilisateurs pensent qu'ils interagissent avec une application légitime, alors qu'en réalité ils donnent accès à des pirates informatiques.

5. Faux service client ou documents d'assistance

Vous demandez de l'aide dans une communauté et un faux "agent d'assistance" ou "service client" vous envoie un lien. Le lien mène à une fausse page de support technique vous demandant d'autoriser un contrat sous prétexte de "résoudre votre problème" ; mais il s'agit en réalité d'un piège.

Comment ça fonctionne

Le principe de base des autorisations malveillantes peut être résumé en une phrase :

Elles exploitent l'ignorance des utilisateurs quant au fonctionnement des autorisations on-chain. En vous incitant à donner votre accord, les escrocs prennent le contrôle de vos actifs et les volent à votre insu.

Principes techniques

Voici le déroulement typique d'une escroquerie par autorisation malveillante :

1. L'escroc déploie un contrat malveillant (mais il ne déclenche pas directement les transferts).

2. L'utilisateur est incité à appeler [approve] (pour les tokens) ou [setApprovalForAll] (pour les NFT).

3. L'autorisation est accordée, mais les actifs restent pour l'instant dans le portefeuille.

4. Les escrocs utilisent ensuite [transferFrom()] ou des fonctions similaires pour transférer des fonds vers leur propre portefeuille.

5. Comme la transaction est techniquement valide (approuvée par l'utilisateur), les portefeuilles et les blockchains ne la bloquent pas.

Mesures de sécurité Bitget Wallet

● Alertes sur les sites d'hameçonnage : si vous visitez un site suspect, Bitget Wallet affichera un avertissement pour vous éviter d'autoriser à votre insu un contrat malveillant.

● Détection intégrée des risques liés aux contrats : Bitget Wallet inclut un outil qui analyse vos autorisations existantes. Vous pouvez examiner et révoquer de manière proactive les autorisations à haut risque ou obsolètes afin de préserver la sécurité de vos actifs.

Meilleures pratiques pour se protéger

Ces signaux d'alerte permettent d'identifier les tentatives d'autorisation malveillantes :

● La DApp n'a aucune fonctionnalité réelle – juste une invite vous demandant d'approuver quelque chose

● L'accès à des actifs cruciaux est demandé (USDT, ETH, NFT, etc.)

● L'autorisation n'a pas de limite (approve (uint256 max))

● La fenêtre contextuelle de signature de votre portefeuille indique SetApprovalForAll : true.

● Le site web n'a pas l'air professionnel ou imite un projet bien connu.

● Ne cliquez jamais sur des liens au hasard et n'approuvez rien provenant de messages privés Telegram, de réponses Twitter ou d'autres sources non vérifiées.

Conclusion

Si vous ne comprenez pas, ne signez pas. S'il ne s'agit pas d'un trade, réfléchissez-y à deux fois avant de cliquer.

Pour les utilisateurs de tous les jours, l'approbation des autorisations des contrats intelligents doit se faire avec une extrême prudence. Adoptez toujours un état d'esprit axé sur la sécurité : "autorisation = transfert de fonds". Examinez et revérifiez chaque autorisation de contrat avant de la signer.