Un vaste vol de cryptomonnaie a frappé un individu associé à la gouvernance de MakerDAO, entraînant une perte considérable dépassant les 11 millions de dollars. Les jetons numériques impliqués, aEthMKR et Pendle USDe, ont été dérobés par des cybercriminels exploitant des signatures d’autorisation trompeuses, également connues sous le nom de hameçonnage de type Permit.
Ce vol est particulièrement préoccupant compte tenu de la position de confiance occupée par la victime au sein de la communauté des monnaies numériques. La complexité de l’escroquerie souligne une préoccupation croissante en matière de sécurité identifiée par des spécialistes de la sécurité blockchain, tels que SlowMist. Ces experts mettent en avant les risques inhérents au système de signature, rendus possibles grâce à la mise en œuvre de l’EIP-2612.
Les signatures de type Permit offrent une approche simplifiée des interactions avec les contrats intelligents en éliminant le besoin de processus de confirmation traditionnels. Les individus peuvent autoriser des transactions de jetons uniquement avec des signatures, sans exécuter de transactions sur la chaîne de blocs. Cette fonctionnalité, bien que pratique, crée une vulnérabilité exploitée par des acteurs malveillants. Il est possible de donner son accord pour une transaction via un site Web douteux, sans jamais diffuser la signature sur la blockchain pour qu’elle prenne effet.
La nature furtive de ces transactions, réalisées en dehors de la vue de la blockchain, rend difficile la vérification de la légitimité d’une signature. Ce qui complique encore davantage les choses, c’est l’artifice insidieux des escrocs, qui attirent leur cible en imitant des plates-formes en ligne de confiance. La société de sécurité blockchain SlowMist a tiré la sonnette d’alarme concernant les avertissements insuffisants fournis aux utilisateurs concernant ces tactiques d’hameçonnage, appelant à une sensibilisation accrue et à des mesures de défense dans le paysage dynamique des transactions de cryptomonnaie.
Questions Importantes et Réponses:
– Qu’est-ce que le hameçonnage de type Permit?
Le hameçonnage de type Permit est un type d’attaque informatique où des acteurs malveillants trompent des individus en leur faisant fournir des signatures autorisant des transactions de jetons sans que les victimes en aient connaissance. Ce type d’arnaque exploite la fonctionnalité Permit décrite dans l’EIP-2642, qui permet aux détenteurs de jetons d’approuver des transactions en signant un message, plutôt que d’effectuer une transaction sur la chaîne de blocs.
– Comment la fonctionnalité Permit provoque-t-elle des vulnérabilités?
La commodité de la fonctionnalité Permit, qui permet aux utilisateurs d’autoriser les dépenses de jetons via des signatures, peut également être une vulnérabilité. Les escrocs peuvent induire les utilisateurs à donner leur accord pour des transactions qu’ils n’ont pas l’intention de réaliser. Ces signatures peuvent ensuite être exploitées sans le consentement ou la connaissance de la victime.
– Quels défis de telles escroqueries présentent-elles à la communauté des cryptomonnaies?
Des escroqueries telles que le hameçonnage de type Permit présentent plusieurs défis, notamment la remise en cause de la confiance dans la sécurité des contrats intelligents, des pertes financières significatives, et la difficulté de suivre et d’annuler les transactions non autorisées. Elles soulignent également la nécessité d’une sensibilisation accrue des utilisateurs et de mesures de sécurité renforcées.
Controverses et Défis:
La controverse réside dans l’équilibre entre la facilité d’utilisation et la sécurité. Alors que les signatures Permit améliorent l’expérience utilisateur en simplifiant les interactions avec les contrats intelligents, elles ouvrent également des opportunités aux escrocs. Identifier et prévenir ces escroqueries est difficile en raison de la nature décentralisée et immuable de la technologie blockchain.
Les principaux défis comprennent :
– Sensibiliser les utilisateurs aux risques de sécurité sans compliquer excessivement l’expérience utilisateur.
– Développer des systèmes pour détecter et prévenir la fraude basée sur les signatures sans compromettre les avantages des plateformes de finance décentralisée (DeFi).
– Résoudre la tension entre l’éthique de responsabilité et de liberté personnelle de la communauté DeFi et le besoin de mesures de protection qui pourraient centraliser le pouvoir ou l’autorité.
Avantages et Inconvénients:
Avantages:
– Simplifie et accélère les interactions avec les contrats intelligents.
– Réduit les coûts de transaction en évitant les frais de gaz associés aux approbations sur la chaîne.
– Autonomise les utilisateurs en leur offrant une auto-garde et un contrôle sur leurs avoirs.
Inconvénients:
– Augmente la surface d’attaque exploitable par les escrocs.
– Rend difficile la récupération des actifs volés en raison de l’immuabilité des transactions sur blockchain.
– Met une lourde responsabilité sur les utilisateurs pour sécuriser leurs actifs numériques contre des attaques d’hameçonnage sophistiquées.
En relation avec le sujet des escroqueries et de la sécurité des cryptomonnaies, voici quelques liens suggérés vers les domaines principaux que les utilisateurs peuvent visiter pour obtenir davantage d’informations :
MakerDAO – Une organisation associée à la victime mentionnée dans l’escroquerie.
SlowMist – La société de sécurité blockchain qui a soulevé des préoccupations concernant ces types d’escroqueries.
Ethereum – La plateforme Ethereum, qui intègre les normes EIP, dont l’EIP-2612, pertinentes pour la fonctionnalité Permit et les problèmes de sécurité associés.
Pour les dernières mises à jour et la sensibilisation en matière de cybersécurité dans le domaine des cryptomonnaies, les utilisateurs sont encouragés à s’éduquer régulièrement et à utiliser les services de sécurité fournis par des spécialistes de la sécurité blockchain.
The source of the article is from the blog aovotice.cz