Un piratage de 440 000 $ révèle une menace liée aux arnaques de « permis » sur Ethereum

2025-12-10 04:30:32

Un hacker a volé plus de 440 000 $ en USDC après qu’un propriétaire de portefeuille a accidentellement signé une signature malveillante de « permis », selon un avertissement publié lundi par la plateforme anti-phishing Scam Sniffer.

L’incident intervient dans un contexte d’augmentation marquée des dégâts causés par des attaques de phishing. Rien qu’en novembre, environ 7,77 millions de dollars ont été retirés à plus de 6 000 victimes — une augmentation de 137 % par rapport à octobre, bien que le nombre de victimes ait diminué de 42 %.

Selon le rapport, la « chasse à la baleine » a continué d’augmenter, le plus grand cas atteignant 1,22 million de dollars à partir d’une seule signature de permis, montrant que, bien que le nombre de cas ait diminué, le niveau de dégâts par victime a considérablement augmenté.

Qu’est-ce qu’une arnaque au permis ?

Les arnaques de permis exploitent la pratique consistant à tromper les utilisateurs pour qu’ils signent une transaction qui semble légitime mais qui donne en réalité à l’attaquant le droit de dépenser leur argent. De nombreuses dApps malveillantes déguisent du contenu, usurpent les noms de contrats ou créent des demandes de signature qui ressemblent à des opérations courantes.

Si l’utilisateur ne vérifie pas une seconde fois, cette signature donne à l’attaquant l’autorisation complète d’utiliser le jeton ERC-20 dans le portefeuille. Une fois licenciés, ils vident généralement leurs fonds immédiatement.

Cette méthode exploite la fonction permit d’Ethereum — conçue pour faciliter l’autorisation de dépenses pour des applications fiables. Cependant, la commodité devient un défaut lorsque ce droit tombe entre de mauvaises mains.

Une nouvelle initiative inter-agences a été lancée pour démanteler les réseaux internationaux de fraude cryptographique, en particulier les modèles de « pig butchering » qui ont causé des pertes de milliards de dollars ces dernières années. De nombreuses agences telles que le DOJ, le FBI, les services secrets et le département du Trésor américain coordonneront pour réprimer ces groupes criminels.

Pourquoi l’arnaque au permis est-il difficile à reconnaître ?

Tara Annison, responsable produit chez Twinstake, a déclaré que le danger était qu’un attaquant pourrait retirer des fonds lors d’une seule transaction ou attendre que la victime charge plus de jetons dans le portefeuille — à condition qu’il ait défini une période de validité de signature suffisamment longue.

« Le succès de ce type d’arnaque réside dans le fait que les utilisateurs signent quelque chose qu’ils ne comprennent pas. Elle exploite la subjectivité et l’impulsivité humaine », a-t-elle déclaré.

Elle a aussi dit que ce n’est pas un cas exceptionnel. De nombreuses attaques de phishing à forte valeur se font souvent passer pour des airdrops gratuits, de faux sites de projets ou de fausses alertes de sécurité pour attirer les utilisateurs à connecter des portefeuilles et à signer des transactions.

Les portefeuilles crypto augmentent les alertes — mais pas assez

Des portefeuilles comme MetaMask ont ajouté des alertes suspectes sur les sites web et déplacé les données de transactions vers un format plus compréhensible. D’autres portefeuilles mettent également en avant des opérations à haut risque. Cependant, l’attaquant changeait sans cesse de tactique.

Harry Donnelly, fondateur de Circuit, avertit que les attaques basées sur les permissions sont « assez courantes » et que les utilisateurs doivent vérifier leurs adresses d’envoi, les contrats associés, et surtout les limites de licence — dans de nombreux cas, les acteurs malveillants demandent des autorisations de dépenses illimitées.

Comment se protéger

Annison souligne que vérifier à nouveau ce que vous allez signer reste la ligne de défense la plus importante :

Comprendre quelles actions auront lieu après la signature
Vérifiez si la fonction appelée est correcte pour l’opération souhaitée
Ne signez pas simplement parce que le dapp le demande ou en promettant de recevoir des récompenses

De nombreux portefeuilles ont amélioré l’interface pour la rendre plus facile à comprendre par les utilisateurs, mais c’est toujours aux utilisateurs eux-mêmes de rester vigilants.

Selon Martin Derka, cofondateur de Zircuit Finance, la possibilité de récupérer l’argent est « presque nulle ».

Il a expliqué que dans les attaques de phishing, la victime ne sait pas qui est l’autre personne, qu’il n’y a pas de point de contact, et que l’attaquant n’a toujours qu’un seul objectif : prendre l’argent et disparaître. « Une fois l’argent parti, il est parti », a-t-il dit.

Thach Sanh

ETH6.46%

USDC-0.01%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.