Des portefeuilles sur les chaînes EVM (ETH, BNB) sont vidés de moins de 2 000 $ chacun, pour un total de 107 000 $ volés à ce jour

Des portefeuilles crypto compatibles avec la machine virtuelle Ethereum ont été vidés suite à une attaque qui a permis de détourner plus de 107 000 dollars, selon ZachXBT, enquêteur spécialisé dans la blockchain.

L'enquêteur en sécurité des cryptomonnaies a tracdes attaques malveillantes qui ont débuté fin décembre, au cours desquelles un pirate informatique a dérobé de petits montants inférieurs à 2 000 dollars par victime. 

« Il semble que des centaines de portefeuilles soient actuellement vidés sur diverses chaînes EVM pour de petits montants (moins de 2 000 $ au total par victime) sans qu'une cause profonde ne soit encoredent», a écrit ZachXBT sur sa chaîne Telegram Investigations.

Les portefeuilles sont acheminés vers l'adressedentcomme 0xAc2e…ad8Bf9bFB, qui, selon les données de la chaîne, contient des actifs provenant de près de 20 blockchains différentes.

Ethereum, BNB, Avalanche, Arbitrum parmi les chaînes EVM concernées

D'après les informations blockchain de Debank, partagées par l'enquêteur de 2D sur Telegram, le pirate informatique possédait environ 54 655 $ d'actifs sur Ethereum, soit 51 % de son solde total. La blockchain BNB suivait avec environ 25 545 $, soit 24 %.

Au moment de ce rapport, des soldes plus petits mais toujours notables ont également été enregistrés sur la couche 2 et sur des chaînes alternatives comme Base (8 688 $), Arbitrum (6 273 $), Polygon (3 498 $), Optimism (1 480 $), Zora (994 $), Linea (909 $) et Avalanche (386 $).

Sur Twitter, des investisseurs spécialisés dans les cryptomonnaies suggèrent que le pirate informatique aurait pu utiliser de faux e-mails MetaMask envoyés pendant les fêtes pour inciter les traders à lui communiquer leurs phrases de récupération de portefeuille.

Cependant, selon une analyse de Nansen, l'adresse a été confirmée comme étant l'un des portefeuilles de l'attaquant lié à l'attaque de la chaîne d'approvisionnement de l'extension Chrome Trust Wallet « Shai-Hulud », l'dent de sécurité qui a commencé pendant la période de Noël.

Comme a rapporté l' Cryptopolitan la veille de Noël, un code malveillant a compromis la version 2.68 de l'extension de navigateur Trust Wallet, entraînant des pertes estimées à 7 millions de dollars. 

« Nos secrets GitHub pour développeurs ont été exposés lors de l'attaque, ce qui a permis à l'attaquant d'accéder au code source de notre extension de navigateur et à la clé API du Chrome Web Store (CWS) », a expliqué Trust Wallet dans un rapport d'incident publié mardi dernier. « L'attaquant a obtenu un accès complet à l'API CWS grâce à la clé divulguée, ce qui lui a permis de télécharger des versions directement, sans passer par le processus de publication standard de Trust Wallet, qui exige une approbation interne et une vérification manuelle. »

Ils ont utilisé cet accès pour enregistrer le domaine « metrics-trustwallet[.]com » et ont distribué une version trojanisée de l'extension, avec une porte dérobée qui pouvait collecter les phrases mnémoniques du portefeuille des utilisateurs et les transmettre à « api.metrics-trustwallet[.]com »

Trust Wallet a indiqué qu'environ un million d'utilisateurs de son extension Chrome ont été invités à passer à la version 2.69 après que la mise à jour compromise a été diffusée sur la plateforme d'extensions du navigateur le 24 décembre.

« Sha1-Hulud était une attaque informatique de grande envergure visant la chaîne d'approvisionnement de logiciels et ayant touché des entreprises de plusieurs secteurs, notamment celui des cryptomonnaies », a déclaré l'entreprise. Cette révélation a mis en lumière Shai-Hulud 3.0, une nouvelle version du logiciel malveillant que les chercheurs considèrent comme une version furtive du code original. 

« La principale différence réside dans l’obfuscation des chaînes de caractères, la gestion des erreurs et la compatibilité avec Windows, le tout visant à accroître la durée de vie des campagnes plutôt qu’à introduire de nouvelles techniques d’exploitation », ont déclaré Guy Gilad et Moshe Hassan, chercheurs chez Upwind.

Nansen s'attend à ce que les jetons volés transitent par les plateformes Tornado Cash, eXch, Railgun, THORChain, Debridge et TRON OTC.

Les arnaques par courriel pendant les fêtes de fin d'année devraient envahir Noël en 2025, un record

Début décembre, le Centre de plaintes pour la cybercriminalité du FBI a envoyé des avertissements aux Américains concernant les courriels frauduleux et d'hameçonnage, indiquant que les citoyens avaient perdu plus de 785 millions de dollars par an à cause d'escroqueries liées au non-paiement et à la non-livraison pendant les fêtes, la fraude à la carte de crédit ajoutant 199 millions de dollars supplémentaires. 

Par ailleurs, les sociétés de surveillance de la blockchain Chainalysis et TRM Labs estiment que les cybercriminels ont dérobé 2,7 milliards de dollars en cryptomonnaies l'an dernier, un record annuel. La plus importante cyberattaque a eu lieu chez Bybit, plateforme d'échange basée à Dubaï, où les pirates ont dérobé environ 1,4 milliard de dollars. 

Cette attaque a surpassé les précédents vols de cryptomonnaies ayant établi des records, notamment le piratage du réseau Ronin (624 millions de dollars) et celui du réseau Poly (611 millions de dollars) en 2022. 

D'après Chainalysis et Elliptic, la plupart des vols de cryptomonnaies commis en Corée du Nord sont imputables à desdentinformatiques liés à l'État, qui ont dérobé au moins 2 milliards de dollars au cours de l'année. Depuis 2017, ces groupes auraient dérobé environ 6 milliards de dollars en cryptomonnaies, censés avoir servi à financer le programme d'armement nucléaire nord-coréen, pourtant soumis à des sanctions.