Une nouvelle attaque de phishing « sophistiquée » vide 3 millions de dollars en USDC d’un portefeuille multi-signatures

Un investisseur crypto non identifié a perdu plus de 3 millions de dollars lors d'une attaque de phishing hautement coordonnée après avoir, sans le savoir, autorisé un contrat malveillant.

Le 11 septembre, l'enquêteur blockchain ZachXBT a été le premier à signaler l'incident, révélant que le portefeuille de la victime avait été vidé de 3,047 millions de dollars en USDC.

L'attaquant a rapidement échangé les stablecoins contre de l'Ethereum et a transféré les fonds vers Tornado Cash, un protocole de confidentialité souvent utilisé pour dissimuler la traçabilité des fonds volés.

Comment l'exploitation a eu lieu

Yu Xian, fondateur de SlowMist, a expliqué que l'adresse compromise était un portefeuille multi-signature Safe 2-sur-4.

Il a précisé que la faille provenait de deux transactions consécutives au cours desquelles la victime a approuvé des transferts vers une adresse qui imitait celle du destinataire prévu.

L'attaquant a conçu le contrat frauduleux de manière à ce que ses premiers et derniers caractères correspondent à ceux du contrat légitime, rendant la détection difficile.

Xian a ajouté que l'exploitation tirait parti du mécanisme Safe Multi Send, dissimulant l'approbation anormale dans ce qui semblait être une autorisation de routine.

Il a écrit :

« Cette autorisation anormale était difficile à détecter car il ne s'agissait pas d'une approbation standard. »

Selon Scam Sniffer, l'attaquant avait préparé le terrain bien à l'avance. Il avait déployé un faux contrat, mais vérifié par Etherscan, près de deux semaines auparavant, en le programmant avec plusieurs fonctions de « paiement par lot » pour le rendre légitime.

Le jour de l'exploitation, l'approbation malveillante a été exécutée via l'interface de l'application Request Finance, donnant à l'attaquant l'accès aux fonds de la victime.

En réponse, Request Finance a reconnu qu'un acteur malveillant avait déployé une version contrefaite de son contrat Batch Payment. L'entreprise a noté qu'un seul client avait été affecté et a souligné que la vulnérabilité avait depuis été corrigée.

Néanmoins, Scam Sniffer a mis en avant des préoccupations plus larges concernant cet incident de phishing.

La société de sécurité blockchain a averti que des exploits similaires pourraient provenir de plusieurs vecteurs, notamment des vulnérabilités d'applications, des malwares ou des extensions de navigateur modifiant les transactions, des interfaces compromises ou un détournement DNS.

Plus important encore, l'utilisation de contrats vérifiés et d'adresses quasi identiques illustre comment les attaquants affinent leurs méthodes pour contourner la vigilance des utilisateurs.

L’article New ‘sophisticated’ phishing exploit drains $3M in USDC from multi-sig wallet est apparu en premier sur CryptoSlate.