Le protocole à connaissance zéro Zerobase victime d'une compromission du front-end, plus de 270 utilisateurs affectés

Plus de 270 utilisateurs du réseau décentralisé de preuve à zéro connaissance Zerobase ont subi des pertes importantes après que des attaquants ont compromis l’interface web de la plateforme, drainant plus de 240 000 $ en USDT lors d’une attaque coordonnée vendredi.

Selon la société d’analyse de chaîne Lookonchain, les mouvements de fonds non autorisés ont commencé vers 14h30 UTC alors que les utilisateurs interagissaient avec ce qu’ils croyaient être l’interface légitime de Zerobase. L’incident révèle une vulnérabilité critique dans la façon dont les plateformes blockchain protègent leurs applications destinées aux utilisateurs — les attaquants n’ont jamais eu besoin de compromettre l’infrastructure blockchain sous-jacente elle-même.

Comment l’attaque frontale s’est déroulée

La méthodologie employée dans cette attaque montre une menace sophistiquée mais de plus en plus courante. Plutôt que de cibler les contrats intelligents sur la blockchain, les acteurs malveillants ont déployé un contrat intelligent de phishing sur BNB Chain conçu pour imiter l’interface légitime de Zerobase. Lorsque des utilisateurs peu méfiants connectaient leur portefeuille via l’interface compromise, ils étaient invités à approuver les permissions de dépense USDT via ce qui semblait être des interactions protocolaires standard.

Le contrat malveillant, identifié par la plateforme de sécurité blockchain HashDit comme 0x0dd28fd7d343401e46c1af33031b27aed2152396, a été conçu pour détourner les connexions de portefeuille et extraire les tokens approuvés. Une fois que les utilisateurs ont accordé les permissions nécessaires, les attaquants pouvaient siphonner les fonds de manière autonome sans nécessiter d’action ou de signature supplémentaire de l’utilisateur. Une seule victime a perdu 123 597 USDT, illustrant l’impact financier considérable par compte affecté.

Pourquoi les attaques frontales sont particulièrement dangereuses

Ce type d’incident de sécurité opère au niveau de l’interaction utilisateur plutôt qu’au niveau du contrat intelligent, ce qui le rend beaucoup plus difficile à détecter pour des utilisateurs non techniques. Les attaquants manipulent l’interface et injectent du code malveillant pour intercepter les transactions ou rediriger les actifs après que les permissions ont été accordées. La sécurité de la blockchain reste intacte, mais la porte d’accès directe de l’utilisateur à cette sécurité a été compromise.

Les pratiques traditionnelles de sécurité des portefeuilles se concentrent sur la protection contre les exploits de contrats intelligents, mais les compromissions frontales nécessitent une approche défensive différente. Les utilisateurs manquent souvent des connaissances techniques pour faire la distinction entre une interface légitime et une réplique de phishing convaincante, surtout lorsque les deux servent des buts identiques et emploient un design visuel similaire.

Réponse immédiate et mesures d’atténuation

Zerobase a rapidement reconnu l’incident via une annonce officielle, avertissant les utilisateurs ayant interagi avec le contrat malveillant. La plateforme a mis en place des sauvegardes automatisées spécialement conçues pour protéger les détenteurs de portefeuilles affectés. Selon la déclaration de Zerobase : « Lorsque vous accédez à ZEROBASE Staking, si votre portefeuille est détecté comme ayant interagi avec ce contrat, le système bloquera automatiquement les dépôts et retraits jusqu’à ce que l’autorisation au contrat de phishing soit révoquée. »

Lookonchain a conseillé à tous les utilisateurs affectés de procéder à une vérification immédiate de leurs permissions de portefeuille. Des services comme revoke.cash permettent aux utilisateurs de revoir et de révoquer toute approbation de contrat suspecte ou inutile, supprimant ainsi la capacité de l’attaquant à accéder aux fonds. Cette mesure préventive est essentielle pour quiconque a accordé des permissions de tokens à des contrats inconnus ou douteux.

De plus, les fournisseurs de services de portefeuille ont pris des mesures pour contenir les dégâts. Ces plateformes ont bloqué le domaine suspect hébergeant l’activité malveillante et ont inscrit en liste noire les contrats intelligents concernés pour éviter d’autres risques d’autorisation. Les utilisateurs affectés ont reçu des alertes automatisées dans les 30 minutes, leur conseillant de revoir et de révoquer toute permission liée à l’interface compromise.

Implications de sécurité plus larges pour l’écosystème

L’incident Zerobase souligne un défi persistant dans la finance décentralisée : la sécurité des protocoles blockchain ne s’étend que jusqu’à un certain point lorsque les utilisateurs interagissent via des interfaces frontales vulnérables. À mesure que l’écosystème mûrit, la surface d’attaque s’est déplacée des vulnérabilités des contrats intelligents vers le vecteur d’attaque plus accessible des applications web compromises.

Ce schéma reflète une réalité à l’échelle de l’industrie — les protocoles doivent non seulement sécuriser leurs composants on-chain, mais aussi mettre en œuvre des mécanismes de surveillance robustes et des réponses rapides face aux menaces hors chaîne. L’incident met également en évidence pourquoi les utilisateurs doivent faire preuve d’une extrême prudence lors de l’approbation des permissions de dépense de tokens, en particulier pour les protocoles nouveaux ou moins établis.

La sécurité frontale représente un composant souvent négligé mais crucial de la résilience globale d’une plateforme. Alors que les hackers continuent de cibler ces interfaces, les protocoles et les fournisseurs de portefeuilles doivent maintenir une vigilance constante et déployer des systèmes de détection à plusieurs couches pour protéger les utilisateurs contre des opérations de phishing sophistiquées exploitant des interfaces légitimes pour extraire des permissions et drainer des fonds.