Si les OG de la Crypto sont piratés, où cela nous mène-t-il, nous autres ?

Un bug malveillant aurait touché les détenteurs de Crypto OG, affectant notamment ONEun des éléments les plus critiques de l'infrastructure Web3 : le portefeuille MetaMask. Plus de 5 000 ethers (ETH) d'une valeur d'environ 10,5 millions de dollars ont été volés à des vétérans de la Crypto à l'aide de divers portefeuilles non dépositaires depuis décembre, selon un site d'information crypto-sceptique Protos signalé, citant une enquête informelle menée par le fondateur de MyCryptoTaylor Monahan.

Il semble quedéveloppeurs chez ConsenSys, la société privée de logiciels de blockchain qui a construit une grande partie des outils open source d'Ethereum, y compris le portefeuille MetaMask et la boîte à outils d'application Infura, enquête sur l'exploit, qui semble cibler « délibérément » les personnes qui devraient connaître les tenants et aboutissants de l'auto-conservation et de la sécurité des Crypto .

Cet article est extrait de The Node, le résumé quotidien de CoinDesk des sujets les plus importants de l'actualité blockchain et Crypto . Abonnez-vous pour recevoir l'intégralité de l'article. newsletter ici.

« Ce n'est PAS un site de phishing de bas étage ni un arnaqueur aléatoire. Il n'a pas attaqué un seul novice. Il attaque UNIQUEMENT les OG », a écrit Monahan, connu sous le nom de « Tay » sur Twitter. L'attaque est généralisée, affectant des clés créées entre 2014 et 2022 et au moins 11 blockchains, selon l'enquête préliminaire de Tay. Les investigations de Monahan sur la blockchain ont révélé que cette vulnérabilité inexpliquée pourrait affecter « tous les portefeuilles », y compris, mais sans s'y limiter, MetaMask.

Je mentionne cet exploit pour ne pas répandre la peur, l’incertitude et le doute – surtout pas à propos deportail Web3 le plus utiliséPour l'instant, il semble que les utilisateurs moyens ou occasionnels de MetaMask, ou les utilisateurs de Crypto en général, ne soient T ciblés. Mais c'est l'occasion de se rappeler quelques bonnes pratiques en matière de portefeuille et de faire le point sur ses avoirs. Compte tenu de l'ampleur de l'attaque et du profil des victimes, les conséquences pourraient être graves.

Le plus important désormais n'est pas seulement de garantir la sécurité des utilisateurs de Crypto , mais de s'assurer qu'ils le soient réellement. Dans un courriel, un représentant de ConsenSys a confirmé que l'attaque semble cibler les premiers utilisateurs ETH ou les personnes travaillant dans le secteur, ou du moins suffisamment actives pour être qualifiées de «Crypto natives ». De plus, le représentant a souligné que l'attaque s'étendait bien au-delà de MetaMask, et que le comportement « on-chain » du pirate suggère fortement une compromission de clé privée.

« Ce que les enquêtes actuelles montrent, c'est qu'il semble que ce vecteur d'attaque spécifique pointe vers la compromission des phrases de récupération Secret de ces utilisateurs à un moment donné, probablement en raison d'un stockage non sécurisé involontaire de ladite phrase », a déclaré l'équipe de sécurité de MetaMask.

L'attaquant(s) inconnu(s)

Comme mentionné précédemment, de nombreuses informations sur l'attaque et son ou ses auteurs restent inconnues. On ignore s'il s'agit d'une action coordonnée de plusieurs pirates informatiques expérimentés ou d'un acteur isolé, ou si plusieurs individus ont découvert et exploité les mêmes vulnérabilités. Cela dit, le fait que la plupart des attaques aient eu lieu entre 10h00 et 13h00 UTC, selon Monahan, suggère qu'il pourrait s'agir d'une seule entité ayant reçu des informations hautement compromettantes.

Dans son article, Monahan explique que l'auteur de l'attaque pourrait avoir reçu une mémoire cache de données lui permettant d'accéder aux clés privées ou aux phrases de récupération de portefeuille des utilisateurs. Elle précise que le problème n'est pas lié à la cryptographie sous-jacente de MetaMask et qu'il ne s'agit pas d'une arnaque par ingénierie sociale, comme dans le cas du phishing.

Cependant, il existe quelques points communs avec l'exploit : la plupart des attaques ont eu lieu le week-end et l'exploiteur a échangé des actifs dans le portefeuille d'une victime contre de l'ether (en contournant souventjalonnépostes,jetons non fongibles et des cryptomonnaies moins connues), consolidant ces ETH puis les transférant. Souvent, l'attaquant revient des heures, des jours ou des semaines après une attaque initiale pour récupérer les fonds restants, a expliqué Monahan.

« Le mouvement on-chain, vol et post-vol, est très particulier », a déclaré Monahan, espérant ainsi permettre l'identification de l'attaquant et la récupération des actifs. Elle a ajouté que plusieurs tentatives de « récupération » ont été couronnées de succès jusqu'à présent.

ConsenSys a confirmé l'attaque par courrier électronique et a déclaré qu'elle encourageait les gens à contacter son service client.équipe de soutien« à propos d'un cas spécifique. » L'entreprise a acquis la startup MyCrypto de Monahan en février 2022, après avoir mis en œuvre la « liste de blocage des arnaques » de MyCrypto (alias CryptoScamDB), utilisée pour protéger les utilisateurs de MetaMask contre la visite d'URL frauduleuses connues en 2017, selon une annonce de l'époque.

Monahan et ConsenSys soulignent également l’importance de la collaboration mutuelle à ce moment-là et du partage desinformations et ressourcesMalheureusement, la communauté Crypto a la fâcheuse habitude de blâmer les victimes piratées. « Arrêtez de faire honte aux gens. Ils ne sont T stupides », a écrit Monahan, soulignant qu'en cas de piratage, partager publiquement les informations peut aider l'esprit de ruche distribué du Web3 à trouver une solution.

« Web3 appartient à tout le monde et nous devrions tous essayer de nous KEEP les uns les autres », a déclaré le REP de ConsenSys.

Meilleures pratiques

Concernant les bonnes pratiques, Monahan a écrit en majuscules : « VEUILLEZ NE T KEEP TOUS VOS ACTIFS DANS UNE SEULE CLÉ OU UNE SEULE PHRASE Secret PENDANT DES ANNÉES. » Si cela n'est utile qu'a posteriori, elle recommande également aux utilisateurs de fractionner leurs actifs, d'utiliser un portefeuille matériel et de transférer leurs fonds hors des comptes connectés à Internet. De plus, MetaMask a partagé cette liste à puces :

• Ne stockez jamais votre clé privée ou votre phrase de récupération Secret en ligne, notez-la toujours quelque part et KEEP -la en lieu sûr.
• Procurez-vous et utilisez un portefeuille matériel, mais comme avec MetaMask, ne stockez T votre clé privée ou votre phrase de récupération Secret n'importe où en ligne (ou de manière réaliste, dans n'importe quel appareil connecté à Internet)
• Si jamais vous arrivez au point où votre portefeuille est si vieux que vous T vous souvenez plus si vous avez été 100 % diligent avec ses clés à tout moment, alors envisagez de créer un nouveau portefeuille (ce qui signifie une nouvelle phrase de récupération Secret , pas un nouveau compte) et de migrer vos fonds là-bas.
• Effectuez des contrôles et des audits de sécurité réguliers pour vous assurer que vous êtes au courant des meilleures pratiques de sécurité et, comme [Monahan] l'a mentionné, envisagez de répartir vos actifs sur plusieurs phrases de récupération et d'utiliser des portefeuilles matériels.

À mesure que la nature de l'exploit sera révélée, il est probable que cette histoire ne fera que prendre de l'ampleur. Apparemment, de nombreux utilisateurs de Crypto de longue date ont été touchés en quelques mois, sans que le grand public en entende parler. Tant que les Crypto conserveront leur valeur, les utilisateurs de portefeuilles continueront d'être confrontés à de telles menaces. Selon un rapport, un montant record de 3,8 milliards de dollars en Crypto a été volé l'année dernière par le biais d'escroqueries, de piratages et de vols. Les dernières informations comptables de Chainalysis.

CoinDesk a récemment publié une liste de « Projets à suivre »Il s'agit de protocoles et d'entreprises que nous recommandons plutôt volontiers aux utilisateurs. J'ai écrit sur la popularité croissante dePortefeuille arc-en-ciel, qui se propage principalement par le bouche à oreille, en partie grâce à son interface simple et à ses fonctionnalités de sécurité intégrées.

Voir aussi :PayPal collabore avec le portefeuille de Crypto MetaMask pour faciliter le trading de Crypto

Rainbow, comme de nombreux portefeuilles Crypto , a déployé une série de fonctionnalités de sécurité pour protéger les portefeuilles, notamment des messages contextuels avertissant les utilisateurs des adresses suspectes avec lesquelles ils pourraient interagir, ainsi que des outils ID empêchant l'envoi d'actifs à des adresses incorrectes ou obsolètes. Des fonctionnalités de sécurité de base comme celles-ci devraient être la norme pour les Crypto (à noter que MetaMask fait partie des portefeuilles offrant des protections similaires).

Mais il semble aussi que les utilisateurs de Crypto et les acteurs malveillants joueront constamment au chat et à la souris. Avec chaque avancée technologique visant à protéger les personnes non informées, il existe probablement une solution de contournement. Et si Monahan a raison, même des années d'expérience pratique ne garantissent pas la sécurité. Il existe des bonnes pratiques à Réseaux sociaux et des pièges à éviter, mais à ce stade, l'escroquerie est clairement endémique aux Crypto.

Qu'en est-il du Web3 dans tout cela ? Les banques et les applications fintech ne sont pas à l'abri des piratages ou des arnaques, mais les utilisateurs devraient pouvoir faire confiance même aux technologies « sans confiance ».

MISE À JOUR (18 avril 2023 – 23h30 UTC) :Ajoute des commentaires de ConsenSys tout au long du document, ainsi qu'une phrase soulignant que tous les portefeuilles, pas seulement MetaMask, sont vulnérables.