Qu’est-ce qu’une attaque de ice phishing ?

Définition et mécanisme

1. Une attaque de phishing sur glace est une technique trompeuse par laquelle les attaquants incitent les utilisateurs à signer des transactions malveillantes qui accordent un accès non autorisé à leurs portefeuilles de crypto-monnaie.

2. Contrairement au phishing traditionnel qui vole les informations d'identification, le phishing sur glace exploite les demandes de signature de portefeuille, obligeant les victimes à approuver sans le savoir les allocations de jetons ou les autorisations de transfert.

3. L'attaquant héberge généralement une fausse interface d'application décentralisée (dApp) imitant les plateformes DeFi légitimes ou les marchés NFT.

4. Lorsque les utilisateurs connectent leur portefeuille Web3, tel que MetaMask, et signent une transaction présentée comme une routine, ils approuvent en fait un contrat intelligent pour retirer des actifs de leur adresse.

5. Une fois approuvé, l'attaquant peut drainer les jetons à tout moment sans autre interaction ni confirmation de l'utilisateur.

Vecteurs et plates-formes courants

1. Les liens malveillants distribués via les groupes Telegram, les serveurs Discord et les DM Twitter/X conduisent souvent à des pages de réclamation de largage contrefaites.

2. Les référentiels GitHub ou les packages npm compromis injectent du code malveillant dans les intégrations de portefeuille open source utilisées par les développeurs.

3. De fausses extensions de navigateur se faisant passer pour des connecteurs de portefeuille demandent des autorisations de signature lors de l'installation ou de la première utilisation.

4. Les réseaux publicitaires compromis diffusent des bannières empoisonnées sur les sites d’actualités cryptographiques, redirigeant les utilisateurs vers des tableaux de bord de jalonnement d’imitation.

5. La manipulation de l'optimisation des moteurs de recherche place les dApp frauduleuses au-dessus des authentiques pour les requêtes à haute intention telles que « Calculateur de liquidité Uniswap v3 ».

Caractéristiques techniques

1. Les transactions impliquées dans l’ice phishing impliquent rarement des transferts d’ETH ; à la place, ils déploient des appels approuver() ciblant les contrats ERC-20 ou ERC-721.

2. Les attaquants utilisent fréquemment des allocations d'adresse zéro , accordant des droits de dépenses illimités à des contrats malveillants portant des noms de fonctions apparemment inoffensifs comme « initReward » ou « setManager ».

3. Les charges utiles de signature sont souvent masquées à l'aide de structures de données typées EIP-712 , cachant la véritable intention derrière des séparateurs de domaine lisibles par l'homme et des champs de message masqués.

4. Certaines variantes utilisent des demandes de signature groupées , regroupant plusieurs approbations en une seule invite pour réduire les soupçons.

5. Les adresses de contrat utilisées dans ces attaques résident souvent sur des chaînes compatibles EVM non vérifiées nouvellement déployées pour échapper à la détection par les scanners de sécurité en chaîne.

Incidents du monde réel

1. En juin 2023, plus de 300 portefeuilles ont été compromis via un faux site de pont Arbitrum qui a incité les utilisateurs à signer une « approbation de synchronisation optimiste » – qui était en fait une allocation symbolique pour un contrat malveillant.

2. Une campagne de phishing ciblant les utilisateurs d'OpenSea début 2024 a utilisé un domaine cloné avec une usurpation de certificat SSL, amenant les victimes à signer une transaction de « vérification de collection » qui a permis le vol de NFT.

3. Plusieurs jeux connectés au portefeuille sur Polygon ont subi une exploitation massive après l'intégration d'un SDK d'analyse tiers contenant une logique cachée setApprovalForAll() .

4. Une page de mise à jour Ledger Live usurpée a incité les utilisateurs à signer une demande de validation du micrologiciel, qui autorisait secrètement un contrat de transfert de jeton BEP-20 sur BSC.

5. Une fausse version du marché Blur a injecté du JavaScript malveillant qui a intercepté les événements de connexion au portefeuille et remplacé les charges utiles de signature légitimes par celles contrôlées par l'attaquant.

Foire aux questions

Q : Les portefeuilles matériels peuvent-ils empêcher le phishing sur glace ? R : Les portefeuilles matériels affichent les détails de la transaction avant de signer, mais les utilisateurs peuvent toujours approuver des autorisations dangereuses s'ils interprètent mal les données affichées ou ignorent les étapes de vérification.

Q : La révocation des allocations de jetons atténue-t-elle entièrement les dommages après un incident de phishing sur glace ? R : La révocation arrête les retraits futurs, mais ne récupère pas les actifs déjà volés ; elle doit être effectuée avant que l'attaquant ne lance les transferts.

Q : Les navigateurs Web3 mobiles sont-ils plus vulnérables au phishing sur glace que leurs homologues de bureau ? R : Les interfaces mobiles compressent souvent les invites de signature dans des vues moins détaillées, ce qui augmente le risque d'approbations aveugles, en particulier sur iOS Safari avec des outils de débogage dApp limités.

Q : Pourquoi certains explorateurs de blockchain ne parviennent-ils pas à signaler les contrats de phishing sur glace comme malveillants ? R : De nombreux contrats de ce type ne contiennent aucun opcode ouvertement nuisible lors du déploiement ; leur danger n'apparaît que lorsqu'ils sont associés à des contextes de signature spécifiques et à des modèles d'appels externes.