
Guide anti-hameçonnage Solana : comment identifier et se prémunir contre les risques ?
TechFlow SélectionTechFlow Sélection

Guide anti-hameçonnage Solana : comment identifier et se prémunir contre les risques ?
Cet article résume les méthodes courantes d'attaques de phishing sur Solana, aidant les utilisateurs à éviter efficacement ces incidents et à réduire les pertes d'actifs.
Article rédigé par : Go+ Security
Récemment, la capitalisation boursière de Solana a fortement augmenté, dépassant temporairement celle de BNB pour se classer parmi les trois premières cryptomonnaies mondiales. Cet effet de richesse considérable attire un grand nombre d'utilisateurs actifs, mais également de nombreux groupes de Wallet Drainer (phishing de portefeuille) qui migrent depuis les blockchains EVM vers Solana. Des sites de phishing ciblant Solana et des escroqueries aux airdrops sont désormais massivement déployés, causant de lourdes pertes à de nombreux utilisateurs. Récemment, l'équipe de sécurité de GoPlus a analysé plusieurs incidents de phishing sur Solana et constaté que les escrocs profitent des lacunes actuelles dans les infrastructures de sécurité de certains portefeuilles Solana pour accélérer leurs campagnes d'arnaques via des airdrops et le vol de comptes sociaux. Voici une synthèse par GoPlus des méthodes courantes de phishing sur Solana afin d'aider les utilisateurs à éviter efficacement ces arnaques et réduire leurs pertes d'actifs.
Types d'attaques
Dans plusieurs récents cas de phishing, GoPlus a observé que les escrocs utilisent principalement des tactiques telles que « incitation à réclamer un airdrop », « faux site de projet », « tirage au sort gratuit » ou encore « redirection via un airdrop NFT ». Ces méthodes ressemblent fortement aux techniques habituelles de phishing sur EVM. La différence principale réside dans l'exploitation par les fraudeurs des différences mécaniques entre Solana et EVM, notamment en utilisant diverses formes de « transfert de jetons ou d'autorisations » spécifiques à Solana. Voici plusieurs types d’attaques observées.

Induction du transfert du jeton natif SOL
Ce type d'attaque est le plus simple. Une fois que l'utilisateur a connecté son portefeuille, l'escroc calcule automatiquement le solde total en $SOL affiché côté interface, puis utilise directement la fonction SystemProgram.transfer pour effectuer un transfert complet du solde. Par exemple, sur un certain site frauduleux, une interface simulant un échange donne à l’utilisateur l’impression qu’il peut acheter un jeton à bas prix.

En réalité, l’opération exécutée n’est qu’un simple transfert de $SOL.

Induction du transfert de plusieurs jetons
Outre le vol du jeton natif $SOL, les escrocs peuvent, dans une seule transaction signée, subtiliser tous les jetons détenus par le portefeuille. Sur Solana, chaque transaction peut contenir plusieurs instructions, chacune réalisant une action distincte comme un transfert, une interaction avec un programme ou la création d’un compte. Cela signifie que les escrocs peuvent inclure plusieurs instructions dans une même transaction. Par exemple, si un utilisateur détient trois jetons différents, le site de phishing n’a qu’à insérer trois instructions de transfert correspondant à ces jetons. Ainsi, sans avoir besoin de tromper l’utilisateur pour chaque actif séparément, ils peuvent vider complètement le portefeuille en une seule opération. Comme dans le premier cas, les pirates utilisent divers stratagèmes pour inciter l’utilisateur à cliquer sur un bouton et signer la transaction. Cette transaction type transfère tous les actifs d’un coup : non seulement le jeton natif $SOL, mais aussi les NFTs et autres jetons. Les escrocs exploitent ici principalement la fonction createTransferCheckedInstruction des jetons SPL de Solana pour construire les instructions de transfert des actifs non natifs.

Simulation de transaction Phantom

Simulation de transaction Backpack
Induction du transfert de propriété du compte de jeton
Outre le transfert direct de jetons, GoPlus a découvert que certains sites de phishing utilisent l'instruction createSetAuthorityInstruction pour modifier la propriété d’un compte de jeton. Le modèle de compte de Solana diffère de celui d’EVM : chaque adresse possède un Token Account spécifique pour chaque jeton. Ce Token Account contient le solde et les informations associées, et possède un propriétaire (owner), qui est généralement l’adresse du portefeuille. L'instruction createSetAuthorityInstruction permet de transférer ce droit de propriété à une autre adresse, ce qui revient en pratique à céder entièrement les jetons contenus. Nous avons testé cette opération sur Phantom et Backpack. Heureusement, ces deux portefeuilles affichent des alertes explicites.


Même si l’utilisateur clique sur l’option Ignore and proceed anyway, la simulation de transaction permet toujours de visualiser le changement de solde.

Attention
Pour les trois types d'attaques mentionnés ci-dessus, la plupart des principaux portefeuilles Solana permettent aujourd’hui de simuler les transactions et d’en prédire les résultats. En examinant attentivement les effets prévus de chaque transaction, les utilisateurs peuvent ainsi éviter une partie des risques de phishing. Cette capacité provient de l’interface officielle JSON RPC de Solana, qui intègre une fonctionnalité de « simulation de transaction ». Toutefois, avec l’évolution des techniques de phishing, nous avons identifié certaines attaques particulièrement insidieuses.
Escroquerie par octroi d’autorisation de jeton
Pour les utilisateurs familiers avec EVM, l’autorisation de jeton est une opération courante. Toutefois, elle fonctionne différemment sur Solana. Les escrocs exploitent ici la méconnaissance des utilisateurs concernant ce mécanisme. Un site de phishing incite l’utilisateur à interagir normalement, mais en arrière-plan, il exécute une transaction d’autorisation via createApproveCheckedInstruction, définissant un Délégué (Delegate). L’intérêt de cette méthode est qu’elle ne transfère pas immédiatement les actifs, mais accorde simplement aux attaquants le pouvoir de contrôler les actifs de l’utilisateur. Ces attaques se cachent souvent derrière des interfaces attrayantes, comme des votes ou des mises en jeu (staking), alors qu’elles modifient silencieusement les paramètres d’autorisation du compte.
Une fois que l’attaquant obtient les droits de contrôle, il peut à tout moment transférer ou échanger les actifs. Ce type d’attaque est difficile à détecter rapidement car aucun transfert n’est visible immédiatement. Il peut toucher un très large public, car l’attaquant attend souvent d’avoir accumulé suffisamment d’autorisations avant de procéder aux transferts. Les utilisateurs doivent donc être extrêmement vigilants face à toute demande de modification des autorisations, surtout sur des sites ou applications inconnus. Bien que la simulation de transaction permette de voir les changements d’autorisation, il ne faut pas uniquement surveiller les variations de solde, mais aussi les modifications d’autorisation pouvant entraîner un vol ultérieur.


Utilisation de Durable Nonce pour obtenir des signatures de transaction
Durable Nonce est une fonctionnalité de la blockchain Solana qui permet de créer un compte spécial stockant une valeur nonce durable, ne devant pas expirer. Sur Solana, chaque transaction doit inclure un hachage de bloc récent (recent blockhash), assurant sa validité temporelle et son unicité. Normalement, ce hachage expire après environ 150 blocs, rendant la transaction invalide. Grâce au mécanisme Durable Nonce, les transactions peuvent rester valables pendant une période prolongée.
Dans les escroqueries, les fraudeurs abusent du Durable Nonce en incitant l’utilisateur à signer une transaction apparemment légitime mais contenant des opérations malveillantes. Comme le nonce ne périt pas, les attaquants disposent d’une fenêtre de temps étendue pour exécuter la transaction. Par exemple, ils peuvent présenter une transaction comme une participation à un airdrop, alors qu’elle contient en réalité une instruction de transfert vers leur propre adresse. L’utilisateur signe sans le savoir, mais aucune transaction n’apparaît immédiatement sur la blockchain, car les attaquants conservent la signature sans diffuser la transaction. Ils peuvent ensuite la publier à tout moment. Toutefois, même si la transaction n’est pas encore publiée, nous constatons que ce type de signature n’affecte pas la capacité de simulation : les principaux portefeuilles peuvent toujours analyser et simuler la transaction. Ainsi, notre méthode de vérification via simulation reste valide.
Néanmoins, nous avons découvert une attaque encore plus discrète et sophistiquée, capable de « tromper les systèmes de détection ».
Contournement de la simulation par mise à jour de contrat
Cette méthode combine Durable Nonce et une caractéristique unique de Solana : la mise à jour de contrats. Le danger potentiel est accru par cette fonctionnalité. Le mécanisme Durable Nonce crée un compte contenant un nonce valide longtemps, permettant à la transaction de rester exécutable pendant une longue période. Ainsi, même si la transaction n’est pas envoyée immédiatement, elle peut être diffusée à tout moment. L’attaquant commence par amener l’utilisateur à signer une transaction contractuelle apparemment inoffensive. À ce stade, même les portefeuilles et outils de simulation ne peuvent pas détecter de menace. Après avoir obtenu la signature liée au Durable Nonce, l’attaquant ne diffuse pas immédiatement la transaction. Au lieu de cela, il exploite la fonctionnalité de mise à jour de contrat de Solana pour transformer le contrat initial en une version malveillante capable de transférer les actifs. Ensuite, il publie la transaction signée précédemment, exécutant ainsi l’opération malveillante. Cette attaque est extrêmement insidieuse et dangereuse, car même un utilisateur expérimenté ne peut pas la détecter au moment de la signature. Pour s’en prémunir, les utilisateurs doivent soigneusement vérifier la réputation et l'historique des contrats, rester sceptiques face à tout comportement inhabituel, et éviter toute interaction avec des contrats inconnus ou récemment créés. Nous appelons également tous les portefeuilles Solana à reconnaître cette menace et à renforcer leurs alertes et protections pour les utilisateurs.
Mesures de prévention
Face aux attaques de phishing sur Solana, voici quelques mesures préventives combinées pour minimiser les risques :
-
Renforcer la vigilance : Soyez toujours extrêmement prudent lors de toute transaction liée aux cryptomonnaies. Informez-vous sur les méthodes courantes de phishing sur Solana, telles que l’induction de transferts de jetons, le transfert de propriété de compte ou l’obtention frauduleuse de signatures.
-
Examiner minutieusement les détails des transactions : Avant toute opération, vérifiez soigneusement le contenu. Soyez particulièrement vigilant avec les transactions utilisant Durable Nonce ou impliquant des contrats intelligents.
-
Utiliser la fonction de simulation de transaction : Profitez de la simulation offerte par votre portefeuille pour examiner précisément les résultats. Mais gardez à l’esprit que ce n’est pas une protection absolue, car certaines simulations peuvent échouer.
-
Surveiller les changements d’autorisation : Méfiez-vous des opérations où les soldes de jetons changent sans transfert apparent. Sur des sites ou applications inconnus, faites attention aux demandes de modification d’autorisations.
-
Révoquer régulièrement les autorisations inutiles : Utilisez des outils comme Solana Revoke pour annuler périodiquement les autorisations superflues et protéger vos actifs.
-
Mettre à jour ses connaissances régulièrement : Restez informé sur les dernières évolutions de la blockchain et des cryptomonnaies, notamment sur les nouvelles techniques de phishing et les stratégies de défense.
-
Tenir les logiciels à jour : Assurez-vous que votre portefeuille et vos logiciels associés sont toujours à jour pour bénéficier des dernières corrections et fonctionnalités de sécurité.
-
Sauvegarder et protéger les clés privées : Protégez soigneusement vos clés privées et informations sensibles. Évitez de les stocker ou partager dans des endroits non sécurisés.
Par ailleurs, l’équipe de sécurité GoPlus appelle la blockchain Solana et son écosystème à accorder une attention accrue à la sécurité des utilisateurs, à accélérer le développement des infrastructures de sécurité et à offrir un environnement de transaction plus sûr, garantissant ainsi la stabilité et la prospérité de l’écosystème.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














