
Deepfake, pièges de plugins : deux incidents de sécurité entraînant des pertes pour les utilisateurs dépassant dix millions
TechFlow SélectionTechFlow Sélection

Deepfake, pièges de plugins : deux incidents de sécurité entraînant des pertes pour les utilisateurs dépassant dix millions
La sécurité est bien plus importante que l'efficacité ou la rentabilité, ce qui explique peut-être pourquoi le monde cryptographique, prétendument décentralisé, peine à se passer de centralisation.
Rédaction : Tuoluo Finance
Les incidents de sécurité ne sont pas rares dans la finance traditionnelle, et encore moins dans l'univers anonyme des cryptomonnaies, véritable forêt obscure où ils sont monnaie courante.
Selon les données, rien qu'en mai dernier, 37 incidents de sécurité typiques ont eu lieu dans l'écosystème crypto. Les pertes cumulées dues aux piratages, escroqueries par hameçonnage et « rug pulls » s'élèvent à 154 millions de dollars, soit une augmentation d’environ 52,5 % par rapport au mois d’avril.
Le 3 juin, deux nouveaux incidents se sont produits. Contrairement à d'autres cas, ces deux événements étaient liés à de grands échanges, avec des circonstances particulièrement étranges, aboutissant, comme toujours, à des gagnants et des perdants.
Le 3 juin, un utilisateur sous le pseudonyme Nakamao a publié sur la plateforme X un long message largement partagé, affirmant : « Je suis devenu une victime du monde crypto ; un million de dollars ont disparu de mon compte Binance. » À travers son récit détaillé, une série de vols orchestrés par des hackers a commencé à se dévoiler.
Selon ses dires, le 24 mai, alors que Nakamao était en plein travail et que tous ses appareils de communication étaient en sa possession, les hackers ont réussi à vider entièrement son compte sur Binance sans connaître ni son mot de passe ni les codes de double authentification (2FA), en utilisant des transactions croisées (« wash trades »).

Les transactions croisées consistent, dans des paires de trading peu liquides, à effectuer de gros volumes d’échanges où l’un achète massivement pour absorber les ventes provenant du compte piraté, permettant ainsi au pirate d’obtenir des fonds réels ou des stablecoins tandis que l’acheteur récupère les jetons obscurs du pirate. Ce type de vol n’est pas rare sur les exchanges. En 2022, FTX avait subi un vol similaire de 6 millions de dollars suite à une fuite de clé API 3commas, incident résolu par SBF via un remboursement direct. Depuis, Binance a également connu plusieurs cas de ce genre. Le danger de cette méthode réside dans le fait qu’elle semble, pour les exchanges mal protégés, une simple activité commerciale normale, sans comportement anormal apparent.
Dans cette affaire, les paires QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC et NEO/USDC ont été ciblées, provoquant une hausse supérieure à 20 %. Toutes les opérations du hacker sont passées inaperçues pour l’utilisateur, qui n’a remarqué l’anomalie qu’une heure plus tard en consultant son compte.
Selon les analyses des sociétés de cybersécurité, les pirates ont pris le contrôle des cookies du navigateur pour manipuler le compte. Autrement dit, ils ont exploité les données sauvegardées côté client. Par exemple, lorsque nous accédons à certains sites web sans avoir besoin de saisir nos identifiants, car des traces de navigation antérieures sont conservées.
Jusqu’ici, cela pourrait être imputé à une négligence de l’utilisateur. Mais la suite devient plus troublante. Après le vol, Nakamao a contacté immédiatement le service client de Binance ainsi que He Yi, cofondatrice de Binance, en leur transmettant son UID, espérant que les fonds soient gelés rapidement. Pourtant, il a fallu une journée entière avant que Binance alerte Kucoin et Gate. Sans surprise, les fonds avaient déjà disparu. Le pirate n’a utilisé qu’un seul compte, sans dispersion, et a retiré sans encombre toutes les sommes depuis Binance. Pendant tout ce temps, l’utilisateur n’a reçu aucune alerte de sécurité. Pire encore, le lendemain, en raison des grosses transactions effectuées, Binance lui a envoyé un e-mail l’invitant à devenir market maker au comptant.
Lors de l’enquête post-incident, une extension Chrome apparemment banale, Aggr, est revenue à l’esprit de Nakamao. Cette extension servait à consulter les données de marché. Selon la victime, elle avait vu plusieurs influenceurs internationaux la promouvoir pendant plusieurs mois et l’avait installée par commodité.
Pour rappel, les extensions peuvent effectuer diverses actions. En théorie, elles peuvent non seulement se connecter à des comptes de trading via des extensions malveillantes, accéder aux informations du compte et exécuter des transactions, mais aussi retirer des fonds ou modifier les paramètres du compte. La raison principale ? Ces extensions disposent de permissions étendues : accès aux requêtes réseau, stockage du navigateur, presse-papiers, etc.
Dès qu’il a repéré le problème, Nakamao a contacté les influenceurs concernés pour les avertir et demander aux utilisateurs d’arrêter d’utiliser cette extension. Cependant, le retour de bâton a frappé Binance. Selon le premier récit de Nakamao, Binance aurait déjà eu connaissance du problème lié à cette extension. Des cas similaires s’étaient produits dès mars, et Binance aurait même identifié les hackers. Pour éviter d’alerter les criminels, l’équipe aurait choisi de ne pas suspendre l’extension ni informer le public, continuant même à laisser les influenceurs interagir avec les hackers. Durant cette période, Nakamao est devenu la prochaine victime.
Pouvoir se connecter et trader uniquement via les cookies indique nécessairement un défaut mécanique chez Binance. Toutefois, l’incident découle bel et bien d’une négligence personnelle de l’utilisateur, rendant toute responsabilité juridique difficile à établir.
Comme prévu, la réponse de Binance a ensuite suscité une vive polémique. Outre un communiqué officiel attribuant l’incident à une attaque externe et affirmant ne pas avoir connaissance du plugin AGGR, He Yi a commenté dans un groupe WeChat : « L’ordinateur de l’utilisateur a été piraté, personne ne peut rien y faire. Binance ne peut pas indemniser les utilisateurs dont les appareils sont infectés. »

Nakamao n’a évidemment pas accepté la position de Binance, estimant que l’échange avait failli à ses obligations en matière de contrôle des risques. Il affirme que les influenceurs avaient explicitement signalé le plugin à l’équipe de Binance, ce qui laisse soupçonner une dissimulation volontaire d’information. Face à l’escalade médiatique, Binance a répondu qu’elle mettrait en place une récompense destinée aux utilisateurs signalant des plugins malveillants.
On pensait l’affaire close, mais le 5 juin, un nouveau rebondissement est survenu. Nakamao a publié un nouvel article sur X pour s’excuser publiquement auprès de Binance, reconnaissant une erreur d’interprétation et un manque d’information. Selon lui, Binance n’était effectivement pas au courant du plugin, et n’aurait découvert le site aggr.trade que le 12 mai, et non en mars comme initialement affirmé. De plus, les influenceurs n’étaient pas des agents infiltrés de Binance ; leurs échanges portaient sur des problèmes de compte, non sur le plugin.
Quelle que soit la véracité de ces déclarations, ce retournement complet — passant de l’accusation à des excuses publiques — suggère fortement que Binance a dû indemniser Nakamao, bien que le montant reste inconnu.

Par ailleurs, le même jour, OKX a également été touché. Un utilisateur d’OKX a rapporté dans une communauté qu’il avait été victime d’un vol via un faux visage généré par IA, entraînant le transfert de 2 millions de dollars depuis son compte. L’incident s’est produit début mai. Selon cet utilisateur, le vol n’était pas dû à une fuite personnelle, mais aux hackers ayant récupéré son adresse e-mail, cliqué sur « mot de passe oublié », puis créé une fausse pièce d’identité accompagnée d’une vidéo d’IA deepfake. Grâce à cela, ils ont contourné les pare-feux, changé le numéro de téléphone, l’e-mail et le dispositif de vérification Google Authenticator, puis vidé intégralement le compte en moins de 24 heures.
Bien que la vidéo synthétique n’ait pas été vue, le récit de l’utilisateur suggère qu’elle était probablement très rudimentaire. Pourtant, elle a suffi à percer les systèmes de contrôle des risques d’OKX. L’utilisateur pense donc qu’OKX porte une part de responsabilité et demande un remboursement intégral. Cependant, une analyse approfondie montre que l’auteur devait connaître intimement la victime, ses habitudes et ses soldes — ce qui pointe vers une complicité interne. L’utilisateur mentionne d’ailleurs avoir un ami qui ne le quitte jamais. Dans ces conditions, OKX refusera probablement toute indemnisation. Actuellement, l’utilisateur a porté plainte et envisage de recourir à la police pour tenter de récupérer ses fonds.
Ces deux affaires ont suscité de vastes débats au sein de la communauté crypto. Bien que beaucoup insistent sur le fait que seule la gestion autonome du portefeuille assure un contrôle total des actifs, force est de constater que les exchanges restent, comparés aux individus, relativement plus sûrs grâce à leur rôle d’intermédiaire. Du moins, un exchange constitue une tierce partie identifiable et joignable. Quel que soit le résultat, il peut intervenir dans l’enquête. Une bonne communication peut même conduire à une compensation, comme dans les cas ci-dessus. En revanche, si un portefeuille auto-géré est piraté, il n’existe pratiquement aucun recours.
Toutefois, l’amélioration de la sécurité des exchanges est désormais urgente. Les grandes plateformes contrôlent la majorité des actifs des utilisateurs, et les cryptomonnaies étant difficiles à retracer, la sécurité doit être renforcée. Dans la finance traditionnelle, chaque déconnexion implique généralement une nouvelle saisie de mot de passe afin d’éviter les intrusions. Les transferts exigent souvent des vérifications supplémentaires. La communauté recommande donc aux plateformes d’introduire un verrouillage par mot de passe, d’exiger une double authentification (2FA) avant chaque transaction, de demander une nouvelle vérification après tout changement d’IP, ou encore d’adopter des systèmes MPC (Multi-Party Computation) pour fragmenter les clés de sécurité, quitte à sacrifier l’expérience utilisateur pour gagner en sécurité. Certains utilisateurs jugent toutefois ces vérifications multiples trop contraignantes pour les traders à haute fréquence.
He Yi a répondu à ces critiques : « Actuellement, nous avons ajouté une alarme basée sur l’analyse big data et une double confirmation humaine en cas de forte fluctuation de prix. Nous renforçons aussi les alertes aux utilisateurs. Concernant l’exécution des plugins et l’autorisation des cookies, nous allons augmenter la fréquence des vérifications. Le mot de passe de trading n’est pas applicable ici, mais Binance adaptera les niveaux de sécurité selon les profils d’utilisateurs. »

En définitive, ces deux incidents doivent servir de mise en garde. Les utilisateurs doivent renforcer leur vigilance, adopter des pratiques sécurisées, utiliser de préférence des appareils dédiés et isolés, privilégier l’authentification segmentée plutôt que la commodité, éviter les options sans mot de passe ou biométriques, faire preuve de prudence avec les extensions, et stocker les actifs importants dans des portefeuilles matériels.
Les cryptomonnaies diffèrent fondamentalement des actifs physiques. Ces derniers peuvent au moins être tracés. En revanche, en cas de vol de cryptoactifs, les compensations sont quasi inexistantes en raison des limites réglementaires, voire impossibles à obtenir, sans parler de la difficulté d’ouvrir une enquête.
De tels cas ne sont pas rares. Récemment, dans un reportage de 1818 Yejing d’Or, un exemple typique a été mis en lumière. Monsieur Zhu, victime, a découvert sur Zhihu un prétendu expert en cryptomonnaies, « Cheng Qiqi », affirmant avoir gagné des millions grâce au trading. Souhaitant suivre ses conseils, les deux parties ont conclu un contrat stipulant que 70 % des bénéfices iraient à Cheng Qiqi, 30 % à Zhu, et que les pertes seraient partagées à 50/50. Zhu devait simplement copier les ordres, tous les comptes restant sous son nom.
Malgré un contrat apparemment solide et des gains initiaux modestes, Zhu a augmenté ses mises. Convaincu par la promesse de Cheng Qiqi de « rembourser intégralement en cas de liquidation », il a emprunté 600 000 yuans, utilisé un effet de levier de 100x pour vendre à découvert l’ETH. Avec la hausse du prix de l’ETH, il a tout perdu.
Ce cas relève clairement de la négligence personnelle, aucune fraude ou coercition n’étant avérée, rendant difficile toute action judiciaire. À la fin, la police et les journalistes n’ont pu que rappeler solennellement : selon la législation chinoise, les transactions de cryptomonnaies ne sont pas protégées et comportent des risques élevés. Méfiance absolue est de rigueur.

Finalement, Monsieur Zhu a clos cette histoire absurde avec une expression brisée et innocente.
Quoi qu’il en soit, rappelons-le encore : dans tout domaine financier, même dans l’univers crypto — secteur qui sacrifie sciemment une partie de sa sécurité pour offrir rentabilité élevée et liberté — la sécurité prime toujours sur l’efficacité ou le profit. C’est peut-être aussi pourquoi ce monde, prétendument décentralisé, peine tant à se passer de structures centralisées.
Après tout, l’humain est ainsi fait : chacun souhaite avoir un filet de sécurité, et même en gagnant beaucoup, personne ne veut travailler pour le bénéfice d’autrui.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News












