En tant que journalistes spécialisés dans la cryptomonnaie, nous avons récemment découvert une escroquerie alarmante qui sévit sur Telegram. Cette nouvelle fraude permet aux attaquants de vider les portefeuilles de cryptomonnaies des victimes sans que ces dernières aient à approuver une transaction. C’est une situation préoccupante qui mérite notre attention et vigilance.
Les jetons ERC-2612 : une faille exploitée
Le subterfuge repose sur l’exploitation des jetons conformes à la norme ERC-2612, qui inclut une fonctionnalité de “transfert sans gaz”. Cette caractéristique permet en effet des transferts par un portefeuille ne détenant pas d’Ether (ETH). Bien que la méthode ne nécessite pas que les utilisateurs approuvent une transaction, elle semble requérir de tromper l’utilisateur pour qu’il signe un message. Il est essentiel de comprendre que l’adoption croissante de la norme ERC-2612 par davantage de jetons pourrait rendre ce type d’attaque plus fréquent.
Nous avons été contactés par un utilisateur ayant perdu plus de 600 dollars en jetons Open Exchange (OX) après être tombé dans ce qu’il croyait être le groupe Telegram officiel du développeur du jeton, OPNX. En réalité, il s’agissait d’une arnaque par hameçonnage. L’utilisateur a été invité à appuyer sur un bouton pour connecter son portefeuille afin de prouver qu’il n’était pas un robot. Cependant, quelques minutes après avoir connecté son portefeuille au site, tous ses jetons OX ont été siphonnés. Selon la victime, aucune transaction n’a été approuvée depuis cette page.
Faux systèmes de vérification et usurpation d’identité
Lorsque nous avons visité le groupe Telegram en question, nous avons constaté qu’il présentait une version contrefaite du système de vérification Telegram de Collab.Land. Le système authentique envoie des messages depuis le canal Telegram @collablandbot, tandis que la version frauduleuse utilisait @colIablandbot, avec un “I” majuscule remplaçant le second “l” minuscule, deux lettres qui se ressemblent fortement dans la police utilisée par Telegram.
De plus, le bouton “connecter le portefeuille” sur les messages authentiques de Collab.Land redirige vers l’URL connect.collab.info, sans tirets, tandis que cette version frauduleuse envoyait les utilisateurs vers connect-collab.info, avec un tiret remplaçant le point.
Une fonctionnalité détournée
D’après les données de la blockchain, l’attaquant a drainé les fonds en appelant la fonction “transferFrom” sur le contrat du jeton OX. Normalement, cette fonction ne peut être appelée par un tiers que si le propriétaire initie d’abord un “approve” via une transaction séparée et établit une limite de dépense. Aucune preuve n’indique que la victime ait jamais effectué une telle approbation.
Environ une heure et quarante minutes avant le transfert, l’attaquant a appelé “Permit” sur le contrat du jeton OX, se désignant comme “dépensier” et le compte de la victime comme “propriétaire”. Il a également fixé une “date limite” après laquelle le permis expirerait et une “valeur” ou montant des jetons pouvant être transférés à un nombre arbitrairement élevé.
La fonction Permit est une nouveauté dans certains contrats de jetons. Elle est mise en œuvre dans le cadre de la norme ERC-2612, qui permet des transactions par des portefeuilles ne détenant pas d’ETH. À terme, cette fonctionnalité pourrait permettre aux développeurs de portefeuilles de créer des portefeuilles conviviaux ne détenant que des stablecoins. Cependant, notre enquête révèle que les escrocs utilisent également cette fonctionnalité pour tromper les utilisateurs et s’emparer de leurs fonds.
Prudence et vigilance requises
Les utilisateurs Web3 doivent être conscients qu’un attaquant peut vider leurs fonds même s’ils ne réalisent pas de transaction d’approbation, tant qu’ils signent un message donnant à l’attaquant cette capacité. L’équipe de Collab.Land a confirmé que le bot et le site web impliqués dans cette attaque ne sont pas associés au protocole Collab.Land officiel.
Il est donc impératif d’être extrêmement prudent lorsqu’on navigue sur des plateformes telles que Telegram et lorsqu’on interagit avec des systèmes de vérification. Les escroqueries peuvent prendre diverses formes et il est crucial d’être toujours vigilant face aux nouvelles méthodes employées par les fraudeurs.
