Baleine a perdu plus de 6 millions USD à cause d'une signature malveillante.

Une baleine de crypto-monnaie a subi des pertes de plus de 6 millions USD, comprenant de l'Éther staké (stETH) et du Bitcoin enveloppé Aave (aEthWBTC) après avoir accidentellement approuvé une signature malveillante lors d'une attaque de phishing le 18/09, selon la société de sécurité blockchain Scam Sniffer.

Selon le rapport, l'attaquant a déguisé cette action sous la forme d'une étape de confirmation de portefeuille ordinaire via la signature "Permit", trompant la victime pour qu'elle permette le transfert d'actifs sans révéler de signes d'alerte.

Yu Xian, le fondateur de la société de sécurité SlowMist, a déclaré que la victime ne réalisait pas le danger en raison des transactions sans frais de gaz. Il a écrit :

«Du point de vue de la victime, il a juste cliqué quelques fois pour confirmer la fenêtre de signature qui s'est affichée depuis le portefeuille, sans dépenser un centime de frais de gaz, et 6,28 millions USD ont disparu.»

Comment fonctionne l'exploitation de Permit

La fonction "Permit" a été conçue pour simplifier le transfert de jetons. Au lieu d'exécuter un ordre on-chain et de payer des frais de gas, les utilisateurs peuvent signer un message off-chain pour autoriser une autre partie.

Cependant, cette commodité a ouvert une nouvelle surface d'attaque pour les malfaiteurs. Lorsque la victime signe un "permit", l'attaquant peut combiner deux fonctions — Permit et TransferFrom — pour retirer des actifs directement. Comme l'autorisation se déroule hors chaîne, le tableau de bord du portefeuille ne montre pas d'activité anormale jusqu'à ce que les actifs soient retirés.

Le résultat est que lorsque la transaction est exécutée on-chain, l'intégralité des jetons a été transférée au portefeuille de l'attaquant. C'est une faille qui fait que l'exploitation de Permit devient de plus en plus un outil prisé des hackers, leur permettant de retirer des millions USD sans avoir besoin de techniques de hacking complexes ou de frais de gaz coûteux.

Les dommages causés par le phishing augmentent

L'incident cette fois-ci reflète une forte tendance à l'augmentation des campagnes de phishing.

Selon Scam Sniffer, rien qu'en août, les attaquants ont volé 12,17 millions USD à plus de 15 200 victimes, soit une augmentation de 72 % par rapport à juillet. Fait intéressant, près de la moitié des pertes proviennent de trois grands portefeuilles, dont un portefeuille ayant perdu 3,08 millions USD en une seule fois.

La société estime que cette augmentation est principalement due à des escroqueries liées à l'EIP-7702 (escroquerie par signature de lot) et au fait que les utilisateurs transfèrent involontairement directement vers des contrats malveillants.

Face à cette situation, les experts en sécurité conseillent aux utilisateurs de crypto-monnaies de rester extrêmement vigilants lorsqu'ils signent des demandes provenant de portefeuilles, en particulier d'éviter de donner un accès illimité à leurs actifs.

Vương Tiễn