Le monde des cryptomonnaies n’est pas sans danger, et même les plus gros poissons ne sont pas à l’abri. Le 21 août 2024, un investisseur crypto fortuné, communément appelé “baleine”, a vu son portefeuille allégé de 55,4 millions de dollars en stablecoins DAI. La cause ? Une attaque de phishing magistralement orchestrée qui a pris le contrôle de son coffre-fort numérique.
Le piège diabolique d’Inferno Drainer
Tout a commencé avec l’utilisation d’Inferno Drainer, un outil de phishing redoutable conçu pour duper les utilisateurs via de faux sites web et des e-mails imitant des plateformes de confiance. Une fois la victime ferrée, les attaquants ont pu accéder à son portefeuille externe (EOA), qui gérait un coffre-fort Maker.
Pour rappel, un coffre-fort Maker permet d’emprunter des stablecoins DAI en déposant des cryptoactifs en garantie. C’est ce type de position de dette garantie qui était sous le contrôle du portefeuille piraté.
Prise de contrôle du DSProxy
Maîtres du portefeuille externe, les hackers ont ensuite transféré la propriété du DSProxy de la victime (un smart contract simplifiant les transactions complexes) vers une adresse sous leur contrôle. Cette manipulation leur a donné les pleins pouvoirs sur les fonds du coffre-fort Maker.
Un transfert masqué de 55,4 millions de DAI
Avec le DSProxy entre leurs mains, les attaquants ont modifié l’adresse du propriétaire du coffre-fort, redirigeant ainsi l’intégralité des 55,4 millions de DAI vers leur propre portefeuille. Un transfert d’une telle ampleur qui a été habilement dissimulé :
- Utilisation d’une adresse nommée “Fake_Phishing187019” sur Etherscan pour brouiller les pistes
- Redirection des fonds vers une autre adresse pour de potentiels retraits ou du blanchiment
Les experts de Certik et le célèbre ZackXBT ont confirmé le stratagème : l’arnaqueur a poussé la victime à signer une transaction lui cédant à son insu le contrôle total du coffre-fort.
Une tentative désespérée de récupération
Réalisant le pot aux roses, la baleine crypto a tenté de reprendre le contrôle de son DSProxy, mais il était déjà trop tard. Les fonds s’étaient évaporés, ne laissant derrière eux qu’amertume et stupéfaction.
Un clic de trop, et c’est tout un portefeuille qui part en fumée… La prudence est mère de sûreté dans l’écosystème crypto !
Les leçons à tirer
Cette mésaventure, aussi brève que coûteuse, nous rappelle les dangers qui rôdent dans l’univers des cryptomonnaies. Si notre écosystème regorge de belles promesses, il est également pavé d’embûches pour les imprudents :
Restez vigilants face aux tentatives de phishing :
- Vérifiez toujours l’authenticité des sites et des expéditeurs d’e-mails
- Ne cliquez jamais sur des liens suspects
- Gardez vos phrases de récupération et clés privées hors ligne
Dans l’univers impitoyable des cryptos, un clic de travers peut faire basculer un empire. Alors, ouvrons l’œil et restons sur nos gardes. La fortune sourit aux audacieux, mais elle ne protège pas les téméraires !
