$10 Des millions de vols de Crypto routés vers Tornado Cash exposent des vulnérabilités de sécurité critiques

Un "whale" de la cryptomonnaie qui est tombé victime d'une attaque de phishing sophistiquée l'année dernière a vu $10 millions d'Éther volés transférés au service de mixage de cryptomonnaies Tornado Cash, soulignant les menaces de sécurité persistantes dans l'écosystème des actifs numériques.

Mouvement majeur de fonds suite au hack de septembre

Le 21 mars, la société de sécurité blockchain CertiK a identifié une activité suspecte où un compte lié à l'incident de phishing de septembre 2023 a transféré 3 700 Éther (environ $10 millions) à Tornado Cash. Ce transfert représente une part significative des $24 millions d'actifs volés lors de l'attaque initiale du 6 septembre 2023.

La victime, une baleine de la cryptomonnaie, a perdu des avoirs substantiels en Éther mis en jeu par le biais du service de staking de liquidités Rocket Pool. L'attaque sophistiquée s'est produite en deux phases distinctes :

• Première phase : Suppression de 9,579 stETH
• Deuxième phase : Vol de 4,851 rETH

Analyse technique de l'exploitation

Le projet de sécurité Scam Sniffer a révélé la vulnérabilité technique qui a permis l'attaque : la victime avait autorisé une transaction "Augmenter l'Autorisation", ce qui s'est avéré catastrophique. Cette fonction spécifique de contrat intelligent permet à des tiers de dépenser des jetons ERC-20 appartenant à d'autres — avec consentement.

Comment l’attaque a fonctionné :**

1. La victime a autorisé une transaction "Augmenter l'Allocation"
2. L'attaquant a obtenu des droits d'approbation sur les jetons de la victime
3. La fonctionnalité des contrats intelligents a été exploitée pour transférer des actifs numériques.
4. Les actifs ont été convertis pour maximiser l'anonymat

La violation de la sécurité a suscité de vives discussions au sein de la communauté des cryptomonnaies concernant les risques inhérents aux approbations de jetons, en particulier lors de l'interaction avec des contrats intelligents potentiellement malveillants.

Conversion et blanchiment d'actifs

La société d'intelligence blockchain PeckShield a suivi les actions ultérieures de l'attaquant, documentant comment les actifs volés ont été systématiquement convertis en :

• 13,785 Éther
• 1,64 million Dai stablecoins

Suite à la conversion, des portions du DAI ont été dirigées vers l'échange FixedFload, tandis que les fonds volés restants ont été répartis sur plusieurs adresses de portefeuille pour en obscurcir l'origine avant le dernier transfert de Tornado Cash.

Tendance croissante des exploits d'approbation

Cet incident représente une partie d'un schéma inquiétant de violations de la sécurité des cryptomonnaies. Rien qu'en février, près de $47 millions ont été perdus à cause d'escroqueries liées au phishing selon le rapport de Scam Sniffer, avec :

• 78 % des vols survenant sur le réseau Éther
• Les tokens ERC-20 représentant 86 % de tous les fonds volés

Les vulnérabilités d'approbation de jetons continuent de générer des pertes significatives. Juste un jour avant que ce transfert de $10 millions ne soit identifié, un contrat obsolète précédemment utilisé par l'échange Dolomite a été exploité, siphonnant 1,8 million de dollars aux utilisateurs ayant accordé des autorisations au contrat. Les développeurs de Dolomite ont ensuite exhorté les utilisateurs à révoquer tous les consentements accordés à l'adresse du contrat compromise.

Réponses rapides pour prévenir de nouvelles pertes

Bien que de nombreuses attaques entraînent des pertes substantielles, des réponses de sécurité rapides peuvent atténuer les dommages. Le 20 mars, l'équipe de Layerswap a réussi à prévenir une exploitation supplémentaire après que leur site Web a été compromis, grâce à l'intervention rapide de leur fournisseur de domaine. Malgré leur action rapide, les attaquants ont tout de même réussi à extraire environ 100 000 $ d'environ 50 utilisateurs. Layerswap s'est engagé à rembourser les utilisateurs touchés et à fournir une compensation supplémentaire pour le désagrément.

Ces incidents récurrents soulignent l'importance cruciale de la vigilance en matière de sécurité dans les transactions de cryptomonnaie. L'exploitation des fonctions d'approbation des jetons et des vulnérabilités des contrats intelligents met en évidence la nécessité d'une éducation utilisateur renforcée et d'une vérification minutieuse de toutes les interactions de contrat pour prévenir des pertes d'actifs inutiles dans un environnement de menaces de plus en plus sophistiqué.