Microsoft met en garde contre l’émergence d’une menace d’« hameçonnage de glace » sur la blockchain et les réseaux DeFi

Microsoft a mis en garde contre de nouvelles menaces affectant les technologies de la blockchain et le web3, notamment les campagnes de « ice phishing ».

le chaîne de blocstechnologies décentralisées, DeFi, contrats intelligents, exploration du concept de ‘métaverse‘ et web3 – la fondation décentralisée construite au-dessus des systèmes cryptographiques qui sous-tendent les projets de blockchain – sont tous poursuivis dans ce qui pourrait être des changements radicaux dans la façon dont nous comprenons et expérimentons la connectivité aujourd’hui.

Continuer à lire: Qu’est-ce que le Web3 ? Tout ce que vous devez savoir sur l’avenir décentralisé d’Internet

Cependant, à chaque innovation technologique, de nouvelles voies peuvent également être créées pour les cyberattaquants et le Web3 ne fait pas exception.

Les menaces les plus courantes d’aujourd’hui incluent le spam de masse et le phishing menés sur les plates-formes de messagerie et de médias sociaux, l’ingénierie sociale et l’exploitation des vulnérabilités.

Le 16 février, l’équipe de recherche Microsoft 365 Defender a déclaré que Hameçonnageen particulier, a fait son chemin vers la blockchain, les portefeuilles de garde et les contrats intelligents – “réaffirmant la durabilité de ces menaces ainsi que la nécessité d’intégrer les fondamentaux de la sécurité dans les futurs systèmes et cadres connexes”.

Microsoft chercheurs en cybersécurité disent que les attaques de phishing ciblées sur le web3 et la blockchain peuvent prendre diverses formes.

L’une des menaces à surveiller est un attaquant essayant d’obtenir les clés cryptographiques privées pour accéder à un portefeuille contenant des actifs numériques.

Bien que des tentatives de phishing par e-mail se produisent, les escroqueries sur les réseaux sociaux sont monnaie courante. Par exemple, les escrocs peuvent envoyer des messages directs aux utilisateurs demandant publiquement l’aide d’un service de crypto-monnaie – et tout en prétendant appartenir à une équipe d’assistance, ils demandent la clé.

Une autre tactique consiste à lancer de faux airdrops pour des jetons gratuits sur les sites de médias sociaux, et lorsque les utilisateurs tentent d’accéder à leurs nouveaux actifs, ils sont redirigés vers des domaines malveillants qui tentent de voler des informations d’identification ou d’exécuter des charges utiles de logiciels malveillants de cryptojacking sur la machine d’une victime.

De plus, les cybercriminels sont connus pour faire du typo-squatting afin d’usurper l’identité de services légitimes de blockchain et de crypto-monnaie. Ils enregistrent des domaines de sites Web contenant de petites erreurs ou modifications, telles que cryptocurency.com plutôt que cryptocurrency.com – et configurez des sites Web de phishing pour voler directement les clés.

L’ice phishing est différent et ignore entièrement les clés privées. Cette méthode d’attaque tente de duper une victime pour qu’elle signe une transaction qui remet l’approbation des jetons d’un utilisateur à un criminel.

De telles transactions peuvent être utilisées dans des environnements DeFi et des contrats intelligents pour permettre un échange de jetons, par exemple.

capture d'écran-2022-02-17-at-10-08-14.pngcapture d'écran-2022-02-17-at-10-08-14.png
Microsoft

“Une fois que la transaction d’approbation a été signée, soumise et extraite, le dépensier peut accéder aux fonds”, a noté Microsoft. “En cas d’attaque de ‘ice phishing’, l’attaquant peut accumuler des approbations sur une période de temps, puis vider rapidement tous les portefeuilles de la victime.”

L’exemple le plus médiatisé d’ice phishing est le compromis BadgerDAO de l’année dernière. Les attaquants ont pu compromettre le front-end de BadgerDAO pour obtenir l’accès à une clé API Cloudflare, et des scripts malveillants ont ensuite été injectés – et supprimés – du contrat intelligent Badger.

Des clients avec des soldes élevés ont été sélectionnés et on leur a demandé de signer des approbations de transactions frauduleuses. BadgerDAO a déclaré dans un autopsie de l’attaque de phishing selon laquelle “le script a intercepté les transactions Web3 et a incité les utilisateurs à autoriser une approbation d’adresse étrangère à opérer sur les jetons ERC-20 dans leur portefeuille”.

“Après avoir hameçonné un certain nombre d’approbations, un compte de financement a envoyé 8 ETH sur le compte de l’exploiteur pour alimenter une série d’appels transferFrom sur les jetons approuvés des utilisateurs”, a déclaré BadgerDAO. “Cela a permis à l’attaquant de transférer des fonds au nom des utilisateurs vers d’autres comptes, qui ont ensuite liquidé les fonds et sont sortis via le pont Badger vers BTC.”

Environ 121 millions de dollars ont été volés. Une audit et plan de redressement est en cours.

“L’attaque Badger DAO met en évidence la nécessité d’intégrer la sécurité dans Web3 alors qu’il en est à ses premiers stades d’évolution et d’adoption”, déclare Microsoft. « À un niveau élevé, nous recommandons aux développeurs de logiciels d’augmenter la convivialité de la sécurité de web3. En attendant, les utilisateurs finaux doivent vérifier explicitement les informations par le biais de ressources supplémentaires, telles que l’examen de la documentation du projet et des sites Web externes de réputation/d’information.

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


La source

Leave a Reply

Your email address will not be published.