
Contre les attaques de phishing : Comprendre en un article les quatre fonctions de blocage des transactions à risque du portefeuille Web3 d'OKX
TechFlow SélectionTechFlow Sélection

Contre les attaques de phishing : Comprendre en un article les quatre fonctions de blocage des transactions à risque du portefeuille Web3 d'OKX
Cet article vise à expliquer clairement les scénarios d'application des quatre nouvelles fonctions de blocage des transactions à risque introduites lors de la mise à jour du portefeuille Web3 d'OKX, tout en vulgarisant le fonctionnement de certains cas de piratage.
Le rapport semestriel 2024 sur le phishing publié par Scam Sniffer révèle qu'au premier semestre 2024, 260 000 victimes ont perdu 314 millions de dollars sur les chaînes EVM, dont 20 personnes ayant chacune perdu plus d'un million de dollars. Plus frappant encore, une victime a perdu 11 millions de dollars, devenant la deuxième plus grosse perte par vol dans l'histoire.
Selon ce rapport, la majorité des vols de jetons ERC20 provient actuellement de signatures frauduleuses telles que Permit, IncreaseAllowance et Uniswap Permit2. La plupart des grands vols impliquent des activités liées au Staking, Restaking, aux garanties Aave et aux jetons Pendle. Les victimes sont souvent redirigées vers des sites web malveillants via des commentaires frauduleux provenant de faux comptes Twitter.
Les attaques par phishing restent indéniablement l'un des principaux problèmes de sécurité en chaîne.
En tant que produit d'entrée de gamme gérant les transactions fondamentales des utilisateurs, le portefeuille Web3 OKX maintient son attention concentrée sur le renforcement des mesures de sécurité et sur l'éducation des utilisateurs. Au niveau du produit, l'équipe a récemment mis à jour sa fonctionnalité de blocage des transactions risquées en se concentrant sur les scénarios de phishing fréquents, et prévoit de continuer à étendre cette capacité pour identifier davantage de situations à risque afin d'avertir les utilisateurs.
Cet article vise à expliquer clairement les quatre nouvelles fonctionnalités améliorées de blocage des transactions à risque dans le portefeuille Web3 OKX, tout en vulgarisant le fonctionnement de certains cas de vols, dans l'espoir de vous être utile.
1. Autorisation malveillante accordée à un compte EOA
Le 26 juin, un utilisateur a perdu 217 000 dollars après avoir signé plusieurs fausses signatures sur un site de phishing imitant Blast. Le 3 juillet, ZachXBT a signalé que l'adresse 0xD7b2 était devenue victime du phishing Fake_Phishing 187019, entraînant la perte de 6 NFT BAYC et de 40 jetons Beans (d'une valeur supérieure à 1 million de dollars). Le 24 juillet, un utilisateur de Pendle a vu ses jetons PENDLEPT de re-staking, d'une valeur d'environ 4,69 millions de dollars, volés en raison de multiples signatures de phishing Permit en l'espace d'une heure.
Au cours des deux derniers mois, les pertes dues à diverses attaques par signature frauduleuse ont été nombreuses et importantes, faisant de ce scénario un domaine critique en matière de sécurité. Dans la plupart des cas, les pirates incitent les utilisateurs à accorder des autorisations à leurs propres comptes EOA.
L'autorisation malveillante à un compte EOA désigne généralement le fait que les pirates, sous couvert d'activités promotionnelles ou autres avantages, poussent les utilisateurs à signer une transaction leur accordant des droits d'accès à un compte EOA.
EOA signifie « Externally Owned Account », également traduit par « compte externe ». Il s'agit d'un type de compte sur les réseaux blockchain comme Ethereum, différent du second type de compte, appelé compte de contrat (Contract Account). Un EOA est détenu par un utilisateur et n'est pas contrôlé par un contrat intelligent. Lorsque les utilisateurs naviguent sur la blockchain, ils accordent normalement leurs autorisations aux comptes de contrat intelligent des projets, et non à des comptes EOA privés.
Actuellement, il existe trois méthodes courantes d'autorisation : Approve est une méthode d'autorisation intégrée à la norme ERC-20. Elle permet à un tiers (comme un contrat intelligent) de dépenser un certain montant de jetons au nom du détenteur. L'utilisateur doit préalablement autoriser un contrat intelligent à utiliser un certain nombre de jetons ; ensuite, ce contrat peut appeler la fonction transferFrom à tout moment pour transférer ces jetons. Si l'utilisateur autorise accidentellement un contrat malveillant, les jetons concernés peuvent être immédiatement transférés. À noter que la trace de cette autorisation Approve reste visible sur l'adresse du portefeuille de la victime.
Permit est une extension basée sur la norme ERC-20 qui permet d'autoriser un tiers à dépenser des jetons via une signature de message, sans appeler directement un contrat intelligent. En d'autres termes, l'utilisateur peut approuver par signature le transfert de ses jetons par une tierce partie. Les pirates exploitent cette méthode en créant des sites de phishing où le bouton de connexion remplace l'action normale par une demande de signature Permit, obtenant ainsi facilement la signature de l'utilisateur.
Permit2 n'est pas une fonction standard d'ERC-20, mais une fonctionnalité introduite par Uniswap pour améliorer l'expérience utilisateur. Elle permet aux utilisateurs d'Uniswap de ne payer les frais de gaz qu'une seule fois. Toutefois, si vous avez utilisé Uniswap et accordé une autorisation illimitée à son contrat, vous pourriez devenir cible d'une attaque de phishing Permit2.
Permit et Permit2 utilisent une signature hors chaîne (off-chain), donc l'adresse du portefeuille de la victime ne paie aucun frais de gaz. C’est l’adresse du pirate qui prend en charge l'opération d’enregistrement de l’autorisation. Par conséquent, les traces de ces deux types de signatures n’apparaissent que dans le portefeuille du pirate. Aujourd’hui, les attaques par signature Permit et Permit2 représentent un point critique majeur en matière de sécurité des actifs Web3.
Dans ce scénario, comment la fonction de blocage du portefeuille Web3 OKX intervient-elle ?
Le portefeuille Web3 OKX analyse préalablement chaque transaction en attente de signature. Si cette analyse révèle qu'il s'agit d'une opération d'autorisation vers une adresse EOA, une alerte est envoyée à l'utilisateur afin d’éviter toute perte d'actifs due à une attaque de phishing.

2. Changement malveillant du propriétaire (owner) du compte
Les incidents de changement malveillant du propriétaire du compte surviennent généralement sur des blockchains comme TRON ou Solana, dont les mécanismes prévoient une notion de propriétaire (owner). Une fois que l'utilisateur signe, il perd tout contrôle sur son compte.
Prenons l'exemple du portefeuille TRON : le système de permissions multi-signatures de TRON définit trois types de permissions distincts : Owner, Witness et Active, chacun ayant des fonctions spécifiques.
La permission Owner dispose des droits les plus élevés pour exécuter tous les contrats et opérations. Seul le titulaire de cette permission peut modifier les autres permissions, notamment ajouter ou supprimer des signataires. Par défaut, après la création d’un compte, celle-ci appartient initialement au compte lui-même.
La permission Witness concerne principalement les Super Représentants (Super Representatives). Un compte disposant de cette permission peut participer aux élections et votes des Super Représentants, ainsi qu’à la gestion des opérations associées.
La permission Active est utilisée pour les opérations quotidiennes, comme les transferts ou l'appel de contrats intelligents. Cette permission peut être définie ou modifiée par la permission Owner, et est souvent attribuée à des comptes devant effectuer des tâches spécifiques. Elle regroupe plusieurs opérations autorisées (comme le transfert de TRX ou le staking).
Dans un premier cas, si les pirates obtiennent la clé privée ou la phrase de récupération de l’utilisateur, et que celui-ci n'utilise pas de mécanisme multi-signature (c’est-à-dire que le compte n’est contrôlé que par une seule personne), les pirates peuvent alors accorder ou transférer les permissions Owner/Active à leur propre adresse. Ces opérations sont communément appelées « multi-signature malveillante ».
Si les permissions Owner/Active de l’utilisateur ne sont pas complètement retirées, les pirates peuvent utiliser le mécanisme multi-signature pour partager le contrôle du compte avec l’utilisateur. Dans ce cas, bien que l’utilisateur conserve toujours sa clé privée/phrase de récupération et ses permissions Owner/Active, il ne peut plus transférer ses actifs librement. Toute tentative de transfert nécessite la signature conjointe de l’utilisateur et du pirate pour que la transaction soit exécutée.
Un autre cas consiste à exploiter le système de gestion des permissions de TRON pour transférer directement les permissions Owner/Active de l’utilisateur vers l’adresse du pirate, privant ainsi l’utilisateur de tout contrôle.
Dans les deux cas, le résultat est identique : quel que soit le maintien ou non des permissions Owner/Active par l’utilisateur, il perd le contrôle effectif de son compte. Le pirate, disposant désormais des droits maximaux, peut alors modifier les permissions du compte ou transférer les actifs à sa guise.
Dans ce scénario, comment la fonction de blocage du portefeuille Web3 OKX intervient-elle ?
Le portefeuille Web3 OKX analyse préalablement chaque transaction en attente de signature. S’il détecte une modification des permissions du compte, il bloque immédiatement la transaction, empêchant ainsi l’utilisateur de signer et d’encourir une perte.
Étant donné le haut niveau de risque, le portefeuille Web3 OKX bloque actuellement ces transactions de manière automatique, sans permettre à l’utilisateur de poursuivre l’opération.

3. Modification malveillante de l'adresse de transfert
Ce type d’attaque se produit principalement lorsque les contrats des DApp présentent des failles de conception.
Le 5 mars, @CyversAlerts a signalé que l'adresse commençant par 0xae7ab avait reçu 4 stETH depuis EigenLayer, pour une valeur de 14 199,57 dollars, soupçonnée d'être victime d’une attaque de phishing. Il a également indiqué que plusieurs victimes avaient signé sur le réseau principal des transactions frauduleuses « queueWithdrawal ».
Angel Drainer exploite la nature du staking Ethereum. L'approbation de la transaction diffère de la méthode classique ERC20 « approve ». L'attaquant a spécifiquement conçu une exploitation visant la fonction queueWithdrawal (0xf123991e) du contrat Strategy Manager d’EigenLayer. Le cœur de l’attaque réside dans le fait que les utilisateurs signant la transaction « queueWithdrawal » autorisent en réalité un « retrait malveillant » à transférer leurs récompenses de staking depuis EigenLayer vers une adresse choisie par l’attaquant. Autrement dit, dès que vous validez cette transaction sur un site frauduleux, vos récompenses de staking sur EigenLayer appartiendront à l’attaquant.
Pour rendre la détection plus difficile, les attaquants utilisent le mécanisme « CREATE2 » afin d’approuver des retraits vers des adresses vides. Étant donné qu’il s’agit d’une nouvelle méthode d’approbation, la plupart des outils de sécurité ou systèmes internes ne parviennent pas à analyser ou valider ce type d’approbation, et marquent donc souvent la transaction comme bénigne.
Ce cas n’est pas isolé : depuis le début de l’année, plusieurs écosystèmes de blockchains majeures ont connu des pertes dues à des vulnérabilités dans des contrats mal conçus, entraînant des modifications malveillantes des adresses de transfert.
Dans ce scénario, comment la fonction de blocage du portefeuille Web3 OKX intervient-elle ?
Face aux attaques de phishing ciblant EigenLayer, le portefeuille Web3 OKX analyse les transactions liées à « queueWithdrawal ». Si l’utilisateur effectue une transaction en dehors du site officiel et que le retrait est dirigé vers une adresse autre que la sienne, une alerte est déclenchée, forçant l’utilisateur à confirmer manuellement l’opération afin d’éviter une attaque de phishing.

4. Transfert vers une adresse similaire
Cette technique d’attaque trompe la victime en lui faisant utiliser une fausse adresse très proche de la véritable, conduisant ainsi les fonds vers le compte de l’attaquant. Ces attaques s’accompagnent souvent de techniques complexes de confusion et de dissimulation, avec utilisation de multiples portefeuilles et transferts inter-chaînes pour compliquer le traçage.
Le 3 mai, une grande adresse (« whale ») a été victime d’une attaque par adresse aux mêmes premiers et derniers chiffres, perdant 1155 WBTC, soit environ 70 millions de dollars.
Le principe de l’attaque consiste à ce que les pirates génèrent massivement des adresses frauduleuses à l’avance, puis déployant des programmes automatisés capables d’identifier dynamiquement les cibles sur la chaîne. Ils lancent alors une attaque par adresse similaire aux premiers et derniers caractères. Dans cet incident, l’attaquant a utilisé une adresse dont les 4 premiers et 6 derniers caractères (après suppression du préfixe 0x) correspondaient à ceux de l’adresse cible. Après le transfert de la victime, le pirate a rapidement (environ 3 minutes plus tard) envoyé une transaction depuis l’adresse frauduleuse vers l’adresse de la victime avec 0 ETH, inscrivant ainsi l’adresse malveillante dans l’historique de transactions de la victime.
Comme les utilisateurs ont tendance à copier les informations de transfert récentes depuis leur historique, ils ont pu voir cette transaction frauduleuse et, sans vérifier attentivement, ont transféré 1155 WBTC à l’adresse malveillante.
Dans ce scénario, comment la fonction de blocage du portefeuille Web3 OKX intervient-elle ?
Le portefeuille Web3 OKX surveille en continu les transactions sur la chaîne. S’il détecte qu’après une transaction importante, une transaction suspecte non initiée par l’utilisateur est rapidement exécutée, et que l’adresse impliquée est extrêmement similaire à celle de la transaction importante, alors cette adresse est identifiée comme une adresse similaire.
Si l’utilisateur tente par la suite d’interagir avec cette adresse similaire, le portefeuille Web3 OKX déclenchera un blocage avec alerte. En outre, sur la page d’historique des transactions, les opérations liées à des adresses similaires seront marquées pour éviter que l’utilisateur soit induit en erreur lors d’un copier-coller, évitant ainsi toute perte. (Fonctionnalité actuellement disponible sur 8 chaînes)

Conclusion
En résumé, au premier semestre 2024, les attaques par e-mails de phishing promettant des airdrops et les piratages de comptes officiels de projets restent fréquents. Alors que les utilisateurs profitent des bénéfices apportés par ces airdrops et promotions, ils font face à des risques de sécurité sans précédent. Les pirates utilisent des e-mails frauduleux imitant des communications officielles, des adresses falsifiées, etc., pour inciter les utilisateurs à divulguer leurs clés privées ou à effectuer des transferts malveillants. De plus, certains comptes officiels de projets ont eux-mêmes été piratés, entraînant des pertes pour les utilisateurs. Pour les utilisateurs ordinaires, dans un tel contexte, la priorité absolue est de renforcer leur vigilance et d’approfondir leurs connaissances en sécurité. En outre, il est recommandé autant que possible de choisir des plateformes fiables en matière de gestion des risques.
Avertissement relatif aux risques et clause de non-responsabilité
Cet article est fourni à titre informatif uniquement. Il exprime uniquement l'opinion de l'auteur et ne reflète pas nécessairement la position d'OKX. Cet article ne constitue ni (i) un conseil d'investissement ou une recommandation ; (ii) une offre ou sollicitation d'achat, de vente ou de détention d'actifs numériques ; (iii) un avis financier, comptable, juridique ou fiscal. Nous n'assurons aucune garantie quant à l'exactitude, l'exhaustivité ou l'utilité de ces informations. La détention d'actifs numériques (y compris les stablecoins et les NFT) comporte des risques élevés et peut subir des fluctuations importantes. Vous devez soigneusement évaluer si la transaction ou la détention d'actifs numériques convient à votre situation financière. Pour toute question spécifique, veuillez consulter un professionnel juridique/fiscal/investissement. Vous êtes seul responsable de comprendre et de respecter les lois et réglementations locales applicables.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














