BinanceCZ reçoit un avertissement de sécurité, le compte administrateur Discord de Ledger a été piraté

Lundi, Changpeng Zhao (CZ), ancien PDG Binance a publié un message de sécurité sur la plateforme X, alertant le public d'une attaque de phishing coordonnée ayant compromis le compte d'administrateur Discord de Ledger. Les pirates ont utilisé ce compte pour alerter faussement les utilisateurs d'une vulnérabilité dans les systèmes de Ledger, les incitant à se rendre sur un site web malveillant conçu pour dérober des informations sensibles concernant leurs portefeuilles.

« Je viens de recevoir cet avertissement de sécurité. Le compte administrateur Discord de Ledger a été piraté », a posté Zhao, en joignant une capture d'écran du message d'hameçonnage. 

Je viens de recevoir cette alerte de sécurité.

Le compte administrateur Discord de Ledger a été piraté. L'escroc a prétendu à tort qu'il existait une faille de sécurité et a incité les utilisateurs à saisir leurs phrases de récupération sur un site d'hameçonnage.

Leçons à retenir :
1. Ne jamais divulguer vos phrases de récupération de clé privée, quel que soit l'auteur de la demande…

— CZ 🔶 BNB (binance) 12 mai 2025

Le message frauduleux prétendait qu'une vulnérabilité nouvellement découverte avait compromis les données des utilisateurs et conseillait à ces derniers de vérifier leurs phrases de récupération via un lien déguisé en faux site officiel fakeverify-ledger.appchanged, mais il s'agissait en réalité d'un piège d'hameçonnage. 

Les utilisateurs ont été informés qu'une compensation leur serait offerte si leurs phrases de récupération étaient compromises. Zhao a averti ses abonnés : « Ne divulguez jamais vos phrases de récupération de clé privée, quel que soit l'interlocuteur. Les comptes de réseaux sociaux des entreprises de cryptomonnaies constituent souvent leur maillon faible. »

Ledger a limité les dégâts

Comme a rapporté l' Cryptopolitan plus tôt dans la journée, le fournisseur de portefeuilles matériels a confirmé qu'un compte de modérateur sur son serveur Discord avait été compromis, mais que la situation était désormais sous contrôle. L'attaquant avait imité le style et le ton d'un message Ledger légitime, allant même jusqu'à détailler les étapes pour « sécuriser » les portefeuilles des utilisateurs. 

L'équipe interne de Ledger a réagi en désactivant le compte du modérateur concerné, en supprimant le bot malveillant et en procédant à un audit complet des autorisations du serveur. Elle a également signalé le d'hameçonnage en question afin d'empêcher les utilisateurs qui n'étaient pas encore au courant d'y accéder.

En mars dernier, Donjon, l'unité de sécurité interne de Ledger, a révélé une faille de sécurité dans la gamme Safe de Trezor, un fournisseur de portefeuilles concurrents. Selon Donjon, le problème provient du microcontrôleur utilisé dans les appareils Trezor, qui reste vulnérable aux attaques physiques.

État des sites web d'hameçonnage : attaques Punycode

Dimanche, un incident distinctdent signalé par la société de sécurité blockchain SlowMist, a vu un utilisateur de cryptomonnaies perdre plus de 20 000 $ suite à une escroquerie par hameçonnage utilisant une fausse version de la plateforme ChangeNOW. L'incidentdent produit alors que la victime utilisait Google Chrome pour accéder à ce qu'elle pensait être le site officiel.

Le faux domaine utilisait une technique appelée attaque Punycode, où des acteurs malveillants enregistrent des domainesdentà des domaines légitimes en remplaçant des lettres par des caractères similaires appartenant à des alphabets différents. Dans ce cas précis, un « е » cyrillique remplaçait un « e » latin, créant ainsi un site visuellement indiscernable de la plateforme ChangeNOW originale.

Les victimes, lorsqu'elles visitent de tels domaines, peuvent être incitées à saisirdentde connexion, à télécharger des logiciels malveillants ou, dans le cadre d'escroqueries liées aux cryptomonnaies, à fournir leurs phrases de récupération. Une fois ces données obtenues, les attaquants prennent le contrôle total des fonds des utilisateurs.

En 2017, des utilisateurs de PayPal ont été ciblés via un faux domaine Punycode qui usurpait l'identité du site officiel, volant leursdentet détournant leurs fonds. Les pirates ont envoyé plusieurs courriels aux utilisateurs, dont un prétendant que Bitcoin avaient été envoyés sur leurs comptes depuis une plateforme d'échange, comme on peut le voir dans une publication sur le subreddit r/CryptoCurrency.

« Ce courriel provenait en réalité de PayPal. Il a transité par le système de transfert de courrier (MTA) de PayPal et a donc été autorisé par celui de Google. Ce n'est pas bon signe », a déclaré le titulaire du compte PayPal qui a découvert l'escroquerie.

Entre 2016 et 2018, les domaines utilisant Punycode ont été impliqués dans une augmentation de 25 % desdentd'hameçonnage, selon une étude de cybersécurité. La plupart des utilisateurs ignorent le fonctionnement du codage Punycode et peinent à détecter ces URL frauduleuses, d'autant plus que le reste de la page web est très similaire à la page officielle, tant au niveau du design que du langage.