Un important vol de cryptomonnaie a frappé un individu associé à la gouvernance de MakerDAO, entraînant une perte stupéfiante dépassant les 11 millions de dollars. Les jetons numériques impliqués, aEthMKR et Pendle USDe, ont été capturés par des cybercriminels profitant de signatures d’autorisation trompeuses, également connues sous le nom de phishing par Permit.
Ce vol est particulièrement préoccupant étant donné la position de confiance occupée par la victime dans la communauté de la monnaie numérique. La complexité de l’arnaque souligne une préoccupation croissante en matière de sécurité identifiée par des spécialistes de la sécurité blockchain, tels que SlowMist. Ces experts pointent les risques inhérents associés au système de signatures, rendus possibles grâce à la mise en œuvre de l’EIP-2612.
Les signatures Permit offrent une approche simplifiée des interactions avec les contrats intelligents en éliminant le besoin de processus de confirmation traditionnels. Les individus peuvent autoriser des transactions de jetons avec des signatures seules, sans exécuter de transactions on-chain. Cette fonctionnalité, bien que pratique, crée une vulnérabilité qui a été exploitée par des acteurs malveillants. On peut approuver une transaction sans le savoir via un site Web douteux, sans jamais devoir diffuser la signature à la blockchain pour qu’elle prenne effet.
La nature furtive de ces transactions, réalisées en dehors de la vue de la blockchain, rend difficile de discerner la légitimité d’une signature. Ce qui complique encore les choses, c’est l’artifice insidieux des escrocs, qui attirent leurs cibles en imitant des plateformes en ligne de confiance. La société de sécurité blockchain SlowMist a tiré la sonnette d’alarme concernant les avertissements insuffisants fournis aux utilisateurs concernant ces tactiques de phishing, appelant à une sensibilisation accrue et à des mesures défensives dans le paysage dynamique des transactions de cryptomonnaie.
Questions importantes et réponses :
– Qu’est-ce que le phishing par Permit ?
Le phishing par Permit est un type d’attaque cybernétique où des cybercriminels trompent des individus pour obtenir des signatures autorisant des transactions de jetons sans le consentement des victimes. Cette forme d’escroquerie exploite la fonctionnalité Permit décrite dans l’EIP-2642, qui permet aux détenteurs de jetons d’approuver des transactions en signant un message, au lieu d’effectuer une transaction on-chain.
– Comment la fonctionnalité Permit engendre-t-elle des vulnérabilités ?
La commodité de la fonctionnalité Permit, qui permet aux utilisateurs d’autoriser les dépenses de jetons via des signatures, peut également être une vulnérabilité. Les escrocs peuvent induire les utilisateurs à signer des approbations pour des transactions qu’ils n’ont pas l’intention de réaliser. Ces signatures peuvent ensuite être exploitées sans le consentement ou la connaissance de la victime.
– Quels défis de telles escroqueries représentent-elles pour la communauté des cryptomonnaies ?
Les escroqueries telles que le phishing par Permit présentent plusieurs défis, notamment la remise en question de la confiance dans la sécurité des contrats intelligents, la causation de pertes financières importantes et la rendant difficile de retracer et d’inverser des transactions non autorisées. Elles soulignent également le besoin d’une éducation accrue des utilisateurs et de mesures de sécurité.
Controverses et défis :
La controverse réside dans l’équilibre entre la facilité d’utilisation et la sécurité. Alors que les signatures Permit améliorent l’expérience utilisateur en simplifiant les interactions avec les contrats intelligents, elles offrent également des opportunités aux escrocs. Identifier et prévenir ces escroqueries est difficile en raison de la nature décentralisée et immuable de la technologie blockchain.
Les principaux défis comprennent :
– Éduquer les utilisateurs sur les risques de sécurité sans compliquer excessivement l’expérience utilisateur.
– Développer des systèmes pour détecter et prévenir la fraude basée sur les signatures sans compromettre les avantages des plateformes de finance décentralisée (DeFi).
– Résoudre la tension entre l’éthique de la responsabilité personnelle et de la liberté de la communauté DeFi et le besoin de mesures de protection qui pourraient centraliser le pouvoir ou l’autorité.
Avantages et inconvénients :
Avantages :
– Simplifie et accélère les interactions avec les contrats intelligents.
– Réduit les coûts de transaction en évitant les frais de gaz associés aux approbations on-chain.
– Donne aux utilisateurs la responsabilité et le contrôle sur leurs actifs.
Inconvénients :
– Augmente la surface d’attaque pour les escrocs.
– Rend la récupération des actifs volés difficile en raison de l’inaltérabilité des transactions sur la blockchain.
– Met un lourd fardeau sur les utilisateurs pour sécuriser leurs actifs numériques contre des attaques sophistiquées de phishing.
Pertinent pour le sujet des escroqueries et de la sécurité en cryptomonnaie, voici quelques liens connexes suggérés vers les principaux domaines que les utilisateurs peuvent visiter pour plus d’informations :
MakerDAO – Une organisation liée à la victime mentionnée dans l’escroquerie.
SlowMist – La société de sécurité blockchain qui a soulevé des inquiétudes concernant ces types d’escroqueries.
Ethereum – La plateforme Ethereum, qui intègre les normes EIP, notamment l’EIP-2612, qui sont liées à la fonctionnalité Permit et aux préoccupations de sécurité associées.
Pour les dernières mises à jour et sensibilisation concernant la cybersécurité dans le domaine des cryptomonnaies, les utilisateurs sont encouragés à s’éduquer régulièrement et à utiliser les services de sécurité fournis par des spécialistes de la sécurité blockchain.