La société CertiK, spécialisée dans la sécurité des blockchains, a rappelé à la communauté crypto qu'elle devait rester vigilante face aux escroqueries de type « ice phishing », un type d'escroquerie unique visant les utilisateurs de Web3, qui a été identifié pour la première fois par Microsoft au début de l'année. 

Dans un rapport d'analyse du 20 décembre, CertiK a décrit les arnaques de type « ice phishing » comme une attaque visant à inciter les utilisateurs de Web3 à signer des autorisations qui permettent à un pirate de dépenser leurs tokens.

Cela diffère des attaques de phishing traditionnelles qui tentent d'accéder à des informations confidentielles telles que des clés privées ou des mots de passe, via des méthodes comme les faux sites Web qui prétendaient aider les investisseurs de FTX à récupérer leurs fonds perdus .

#CertiKSkynetAlert. 1/ L'ice phishing est une menace considérable pour la communauté Web3. Au lieu d'accéder à votre clé privée, les escrocs vous incitent à signer des autorisations pour dépenser vos actifs. Nous vous expliquons ci-dessous à quoi vous devez faire attention et comment vous protéger ! _CertiK Alert (@CertiKAlert) 20 décembre 2022

L'escroquerie du 17 décembre, au cours de laquelle 14 Bored Apes ont été volés, est un exemple d'attaque d'ice phishing élaborée. Un investisseur a été convaincu de signer une demande de transaction déguisée en contrat de film, permettant finalement à l'escroc d'acheter tous les Apes de l'utilisateur pour un montant négligeable.

La société a fait remarquer que ce type d'escroquerie constituait une « menace considérable » et ne se rencontrait que dans le monde du Web3, où les investisseurs doivent souvent signer des autorisations pour des protocoles de finance décentralisée qui pourraient être facilement falsifiés. CertiK a écrit :

« Le pirate a juste besoin de faire croire à un utilisateur que l'adresse malveillante à laquelle il donne son approbation est légitime. Une fois qu'un utilisateur a approuvé les autorisations pour que l'escroc dépense des tokens, alors les actifs risquent d'être volés. »

Une fois qu'un escroc a obtenu l'autorisation, il est en mesure de transférer des actifs à une adresse de son choix.

Un exemple du fonctionnement d'une attaque d'ice phishing sur Etherscan. Source : Certik

Pour se protéger de l'ice phishing, Certik a recommandé aux investisseurs d'utiliser un outil d'approbation de tokens et un site d'exploration de blockchain tel qu'Etherscan, afin de révoquer les autorisations pour les adresses qu'ils ne reconnaissent pas.

À lire également : Le cofondateur du Ponzi OneCoin risque 60 ans de prison

En outre, les adresses avec lesquelles les utilisateurs prévoient d'interagir devraient être recherchées sur ces explorateurs de blockchain pour détecter toute activité suspecte. Dans son analyse, CertiK cite comme exemple d'activité suspecte une adresse qui a été financée par des retraits de Tornado Cash.

CertiK a également suggéré aux utilisateurs de n'interagir qu'avec des sites officiels qu'ils sont en mesure de vérifier, et de se méfier particulièrement des sites de médias sociaux comme Twitter, mettant en avant un faux compte Twitter Optimism à titre d'exemple.

Faux compte Twitter d'Optimism. Source : Certik

La société a également conseillé aux utilisateurs de prendre quelques minutes pour vérifier un site de confiance tel que CoinMarketCap ou CoinGecko, afin de s'assurer qu'une URL renvoie à un site légitime.

Le géant de la technologie Microsoft a été le premier à mettre en évidence cette pratique dans un article de blog publié le 16 février, déclarant à l'époque que si le phishing de justificatifs est très prédominant dans le monde Web2, l'ice phishing donne aux escrocs la possibilité de voler une partie de l'industrie crypto tout en conservant « un anonymat presque complet ».

Ils ont recommandé que les projets Web3 et les fournisseurs de portefeuilles renforcent leur sécurité au niveau logiciel, afin d'éviter que la prévention contre les attaques d'ice phishing ne repose uniquement sur l'utilisateur final.