Les arnaques pullulent dans l’écosystème des cryptomonnaies, et les attaques de phishing font des ravages. Dernière victime en date : un malheureux holder de Pepe (PEPE), le célèbre memecoin, qui s’est fait dérober l’équivalent de 1,4 million de dollars. Mais cette attaque phishing était particulièrement vicieuse, tirant parti d’une fonctionnalité d’Uniswap. Décryptage de ce hold-up version DeFi.
1,4 million de dollars en PEPE et autres tokens envolés
Dimanche 13 octobre, les spécialistes de l’analyse on-chain de Scam Sniffer ont donné l’alerte. Un holder de crypto venait d’être victime d’un phishing de grande ampleur. Au total, ce sont près de 1,4 million de dollars en jetons Pepe (PEPE), Microstrategy (MSTR) et Apu (APU) qui ont été siphonnés du wallet de l’infortuné utilisateur.
L’attaque reposait sur une faille liée à la fonction Permit2 lancée par Uniswap. En signant par inadvertance une transaction malveillante via Permit2, la victime a donné le feu vert aux hackeurs pour piller son portefeuille crypto. Un hold-up en bonne et due forme, mode DeFi.
Comment fonctionnent Permit et Permit2 ?
Permit et Permit2 sont des fonctionnalités introduites par Uniswap pour simplifier les interactions avec les smart contracts, en particulier pour réduire les frais de gas. L’idée : permettre de signer des transactions hors-chaîne (off-chain), et ainsi fluidifier les opérations sur les protocoles DeFi.
Avec Permit2, les utilisateurs peuvent approuver plusieurs tokens en une seule transaction. Pratique, mais potentiellement risqué comme le montre cette attaque phishing…
Un phishing basé sur l’usurpation d’interfaces DeFi légitimes
Dans ce type de phishing exploitant Permit2, les victimes sont généralement attirées sur de faux sites imitant des dApps réputées. On leur demande alors de signer une transaction qui semble anodine, mais octroie en réalité un accès illimité à leur wallet au hacker.
Le plus vicieux : la signature off-chain via Permit2 ne nécessite pas de confirmation supplémentaire on-chain. Le pirate obtient donc un accès total au portefeuille, et peut transférer tous les tokens vers ses propres adresses. Un jeu d’enfant.
Des arnaques de plus en plus sophistiquées
Malheureusement, les attaques de phishing deviennent toujours plus élaborées. Récemment, un utilisateur de Gmail a rapporté une tentative d’hameçonnage ultra perfectionnée, capable de duper même les plus prudents.
Les red flags à surveiller pour éviter le phishing crypto :
- Vérifiez toujours l’URL et l’orthographe des sites avant d’interagir
- Ne cliquez jamais sur des liens reçus de contacts inconnus
- Connectez-vous uniquement à des dApps de confiance
- Lisez attentivement les détails de chaque transaction avant de signer
Signer une transaction malveillante sans s’en apercevoir, comme ce fut le cas avec Permit2 pour notre malheureux holder de PEPE, est hélas de plus en plus courant. Alors restez vigilants lorsque vous naviguez dans les méandres de la finance décentralisée. Les pirates sont à l’affût du moindre faux-pas.
Avec Permit2, signer une transaction malveillante off-chain peut donner aux hackers les clés de votre royaume crypto. Une menace à prendre très au sérieux.
John Taylor, expert sécurité blockchain
En attendant des solutions pour sécuriser davantage les protocoles DeFi et sensibiliser les utilisateurs, les attaques de phishing risquent hélas de se multiplier. Et les memecoins comme Pepe, avec leur popularité grandissante, sont des cibles de choix pour les hackers malintentionnés. Alors ne baissez pas la garde, ou votre précieux Pepe pourrait bien s’envoler !
