Un utilisateur d'Ethereum perd 440 358 $ en USDC après une exploitation malveillante de la fonction Permit

Source : CryptoNewsNet
Titre original : Un utilisateur d’Ethereum perd 440 358 $ en USDC après une exploitation malveillante de la fonction “permit”
Lien original :
Un utilisateur de crypto-monnaie a perdu 440 358 $ en USD Coin [image]USDC( sur Ethereum après avoir approuvé à son insu une signature “permit” frauduleuse qui a permis à un attaquant de vider son portefeuille, comme l’a confirmé la plateforme de sécurité Web3 Scam Sniffer.

La victime, utilisant l’adresse de portefeuille 0x67E8561Ba9d3f4CBe5fEd4C12c95b54f073a0605, a approuvé une transaction malveillante qui a accordé des droits de dépense complets à un attaquant. Scam Sniffer a repéré que les fonds étaient envoyés à deux adresses distinctes étiquetées 0xbb4…666f682aF et 0x6a3aF6…d8F9a00B.

L’attaquant de phishing valide le transfert d’)USDC( depuis la victime

Selon les données blockchain d’Etherscan, l’attaquant a utilisé une transaction “permit”, un type de signature qui transfère des tokens sans que le propriétaire ait à les confirmer manuellement. Même si aucun fonds ne semble bouger au moment de la signature, l’attaquant peut plus tard indiquer le montant et l’encaisser sans consentement supplémentaire ; dans ce cas, 440 358 $ ont été saisis.

Une fois approuvée, l’attaquant a appelé plusieurs fonctions “transferFrom” via le contrat FiatTokenProxy, qui gère les transactions USDC. Vers 10 h UTC lundi, 22 000 USDC ont été envoyés à un compte “Fake Phishing”, 66,06 K$ à l’adresse 0xbb4223Ef4cCe93fB40beb62178aBE9A666f682aF et 352,3 K$ à 0x6a3aF6Cb51D52F32D2A0A6716a8EFF99d8F9a00B simultanément.

Scam Sniffer a également rapporté un autre incident de phishing le 7 novembre, lorsqu’un autre utilisateur a perdu 1,22 million de dollars en USDC et un token PlaUSDT0 seulement 30 minutes après avoir signé des messages “permit” frauduleux.

Le rapport de phishing de novembre de la société de sécurité Web3 indique que les pertes totales ont atteint 7,77 millions de dollars, soit une hausse de 1 137 % par rapport aux 3,28 millions de dollars d’octobre. Malgré cette explosion des pertes, le nombre de victimes a diminué de 42 %, avec 6 344 utilisateurs affectés enregistrés en novembre, contre 10 935 victimes le mois précédent.

Il y a presque une semaine, certains hackers ont utilisé le “poisoning d’adresse” pour voler 1,1 million d’USDT sur Ethereum. Selon Kyle Soska, CIO de Ramiel Capital, le groupe surveillait de petits transferts sortants depuis des portefeuilles de baleines, puis utilisait des systèmes équipés de GPU pour générer des adresses quasi identiques.

“L’attaquant envoie dans ce cas une très petite transaction en tether à la victime on-chain, afin que l’adresse ressemblante apparaisse dans la liste d’activité récente du portefeuille web3 de la victime. Celle-ci choisit alors accidentellement cette adresse pour envoyer une grosse somme”, a expliqué Soska.

Saison des achats de fin d’année envahie par les arnaques à l’usurpation d’identité

L’escalade du phishing lié aux cryptos survient alors que les arnaques numériques augmentent durant la saison des achats de fin d’année. Darktrace, une société de cybersécurité qui suit les tendances mondiales du phishing auprès des consommateurs, a signalé une hausse de 201 % des escroqueries usurpant l’identité de grands détaillants américains durant la semaine précédant Thanksgiving, par rapport à la même semaine en octobre.

Les emails imitant Macy’s, Walmart et Target ont augmenté de 54 % en une seule semaine, mais Amazon reste l’entreprise la plus usurpée, représentant 80 % des tentatives de phishing, plus que les marques numériques Apple, Alibaba et Netflix.

Rien qu’au début novembre, Kaspersky a détecté 146 535 spams faisant référence à des promotions saisonnières, dont 2 572 liés à des campagnes Singles’ Day. Beaucoup de ces messages réutilisaient des modèles éprouvés recyclés des années précédentes, les escrocs imitant Amazon, Walmart et Alibaba pour promouvoir des ventes en accès anticipé qui redirigeaient les utilisateurs vers de fausses pages de paiement afin de voler leurs identifiants et d’effectuer des approbations malveillantes.

Les données du Kaspersky Security Network )KSN$440K montrent qu’entre janvier et octobre, l’entreprise a bloqué 6 394 854 tentatives de phishing visant des boutiques en ligne, des banques et des systèmes de paiement. Près de la moitié de ces tentatives, soit 48,2 %, ciblaient spécifiquement les acheteurs en ligne.

Sur la même période, Kaspersky a identifié plus de 20 millions d’attaques sur des plateformes de jeux, dont 18,56 millions exploitant Discord, que l’entreprise considère comme un point de distribution de fichiers malveillants déguisés en logiciels de jeu.

Les plateformes de divertissement ont également été fortement ciblées, avec 801 148 tentatives de phishing sur le thème de Netflix et 576 873 liées à Spotify enregistrées en 2025. L’entreprise a également recensé 2 054 336 tentatives de phishing usurpant les plateformes de jeux Steam, PlayStation et Xbox.

En outre, Kaspersky a enregistré 20 188 897 tentatives d’infection par des malwares déguisés en “logiciels courants”, Discord représentant la majorité avec 18 556 566 détections, soit plus de 14 fois plus que les incidents signalés l’année précédente.