Le chercheur ZachXBT, spécialiste de la blockchain, a repéré une nouvelle attaque de vidage de portefeuilles, touchant des dizaines d'adresses. Ces vols, apparemment aléatoires, sont tous liés à la fuite de données de LastPass, exposant potentiellement de nombreux portefeuilles.
ZachXBT a signalé le vol de 5,36 millions de dollars dans des portefeuilles personnels contenant Bitcoin et des actifs de l' Ethereum . Toutes ces adresses, apparemment aléatoires, avaient un point commun : l'utilisation de LastPass pour stocker et protéger leurs mots de passe. Suite à une fuite de données en 2022, la liste des portefeuilles s'est avérée compromise.
ZachXBT a égalementdentles attaquants comme une entité cohérente, le groupe de menaces « Last Pass ». Leur mode opératoire était similaire : vider les portefeuilles, puis échanger immédiatement les fonds contre de Ethereum et Bitcoinvia des plateformes d’échange instantané. L’attaque a affecté plusieurs jetons, mais les pirates cherchaient à simplifier leurs avoirs.
Les victimes de Last Pass sont confrontées à une nouvelle vague d'attaques de portefeuilles électroniques
Apparemment, certains propriétaires de portefeuilles avaient également stocké leurs clés privées sur le service, ce qui a permis un accès direct à leurs portefeuilles. L'attaque proprement dite a eu lieu longtemps après la fuite de données, et il est possible que d'autres portefeuilles soient potentiellement exposés, mais n'aient pas encore été vidés.
Parmi les portefeuilles récemment vidés figurent des influenceurs crypto utilisant le terme ENS, ainsi que des utilisateurs actifs de DEX et DeFi trac intelligents sont particulièrement vulnérables.
Dans un cas, les fonds provenaient d'un utilisateur d'OpenSea, probablement de la vente d'un NFT. Le portefeuille destinataire était alors probablement automatisé et déjà connecté à la plateforme NFT. Il a été vidé peu après, les fonds étant directement envoyés pour un échange anonyme.
À ce jour, plus de 40 adresses ont été vidées. Dans certains cas, des signes de surveillance apparaissent, le vidage ayant eu lieu juste après un dépôt récent. Certains portefeuilles, ayant reçu des fonds de plateformes d'échange à des fins de stockage ou de réserve intermédiaire, ont été vidés peu de temps après la transaction.
ZachXBT avait déjà tracun premier lot de 22 adresses, avec des pertes dépassant 6,2 millions de dollars, même au début du marché haussier. D'autres chercheurs spécialisés dans la blockchain ont également tiré la sonnette d'alarme concernant des portefeuilles potentiellement vulnérables.
Cela fait deux ans que Path a tiré la sonnette d'alarme.
Depuis, nous avons enquêté sur des milliers de vols de ce type.
Dont deux autres au cours des dernières heures.
Veuillez transférer vos fonds vers de nouveaux portefeuilles si vous utilisiez LastPass.
Parlez-en à vos amis.
S'il vous plaît. Je vous en supplie. 🙏 https://t.co/5xd5oYxbwb
– Tay 💖 (@tayvano_) 16 décembre 2024
La seule solution pour les utilisateurs est d'abandonner tous les portefeuilles potentiellement vulnérables. Le risque persiste pour toute personne utilisant LastPass avant la faille de sécurité de 2022. Tous les fonds doivent être transférés vers de nouvelles adresses, car les anciennes sont déjà surveillées pour les transactions entrantes.
Cette nouvelle attaque de portefeuilles numériques fait suite à une précédente série de vols visant des portefeuilles liés aux données de LastPass. En octobre 2023, 25 portefeuilles ont été vidés de leurs fonds, pour un total de 4,4 millions de dollars en cryptomonnaies et jetons. Comme indiqué précédemment, certains de ces portefeuilles contenaient des sommes importantes et appartenaient à des acteurs du secteur, notamment des investisseurs en capital-risque et des développeurs de finance décentralisée DeFi .
Le piratage précédent n'a pas alerté tous les propriétaires de portefeuilles exposés à LastPass. ZachXBT avait déjà mis en garde contre les portefeuilles potentiellement vulnérables, mais les pirates ont tout de même réussi à attaquer d'autres comptes.
Des piratages envoyés directement aux plateformes d'échange
Contrairement aux autres tentatives de piratage, les portefeuilles ont été vidés directement vers des comptes d'échange. Cela laisse penser que le pirate avait un contrôle total et a décidé d'utiliser les fonds pour les échanger afin de dissimuler ses agissements. Dans un cas précis, un portefeuille a été vidé de 15 ETH, qui ont été transférés directement vers une adresse d'échange.
Un autre portefeuille a perdu 32 ETH, transférés vers le portefeuille chaud FixedFloat. La plateforme d'échange était également utilisée par d'autres portefeuilles. La plateforme elle-même n'est pas affectée et reste totalement neutre face à ce piratage. Cependant, les DEX sont une cible régulière des pirates informatiques, qui les utilisent pour transférer des fonds et effacer leurs trac . Auparavant, des analystes avaient trac des fonds provenant d'une attaque contre Rocket Pool jusqu'à cette même plateforme.
FixedFloat propose un service d'échange simplifié, assorti de frais relativement élevés, sans obligation de création de compte ni de vérification d'identité. La plateforme a elle-même été la cible de pirates informatiques : en mars dernier, elle a été victime d'une attaque ayant permis de dérober 26 millions de dollars en ETH et BTC.
