3,047M USDC drainé dans une attaque de contrat de finance de demande fictive sur Safe

Une récente attaque de phishing a entraîné la perte de 3,047 millions USDC. L'exploitation a ciblé un portefeuille multisignature Safe. Tout en utilisant un faux contrat Request Finance. Les enquêteurs affirment que les attaquants ont soigneusement planifié le schéma. Ils l'ont exécuté d'une manière qui semblait presque autorisée. La victime utilisait un portefeuille multisignature Safe 2 sur 4. Selon Scam Sniffer, la transaction semblait être traitée via l'interface de l'application Request Finance. Mais cachée à l'intérieur de la demande groupée se trouvait une approbation d'un contrat malveillant.

L'adresse de contrat frauduleuse était presque identique à la légitime. Avec seulement des différences subtiles dans les caractères du milieu. Les deux commençaient et se terminaient par le même caractère. Ce qui rend difficile de le remarquer d'un coup d'œil. Pour augmenter la crédibilité, les attaquants ont même vérifié le contrat malveillant sur Etherscan. Cette étape supplémentaire le rendait authentique pour quiconque le consultait de manière superficielle. Une fois l'autorisation accordée. Les attaquants ont immédiatement drainé 3,047 millions USDC. Les fonds volés ont ensuite été échangés contre de l'ETH. Ensuite, ils ont rapidement été transférés dans Tornado Cash, rendant difficile la traçabilité.

Un calendrier soigneusement planifié

La chronologie de l'attaque montre une préparation claire. Treize jours avant le vol, les attaquants ont déployé le faux contrat Request Finance. Pendant ce temps, ils ont effectué plusieurs transactions "batchPayments" pour rendre le contrat actif et digne de confiance. Au moment où la victime a interagi avec celui-ci, le contrat semblait avoir un historique d'utilisation normal. Lorsque la victime a utilisé l'application Request Finance, les attaquants ont glissé l'approbation cachée dans la transaction par lots. Une fois la transaction signée, l'exploitation était complète.

Réponse de Request Finance

Request Finance a reconnu l'incident et a publié une déclaration avertissant les utilisateurs. L'entreprise a confirmé qu'un acteur malveillant avait déployé un clone de son contrat de Paiement par Lots. Selon la déclaration, un seul client a été affecté. La vulnérabilité a depuis été corrigée. Mais la méthode exacte utilisée pour injecter l'approbation malveillante reste floue. Les analystes pensent que les vecteurs d'attaque possibles pourraient inclure une vulnérabilité dans l'application elle-même. De plus, des logiciels malveillants ou des extensions de navigateur modifiant les transactions, ou même un frontend compromis ou un détournement DNS. D'autres formes d'injection de code ne peuvent pas être exclues.

Préoccupations en matière de sécurité mises en évidence

L'affaire montre la tendance croissante des escroqueries dans l'industrie de la crypto. Les attaquants ne s'appuient plus sur des liens de phishing basiques ou des astuces évidentes. Au lieu de cela, ils déploient des contrats vérifiés, imitant de vrais services, et cachent des actions malveillantes à l'intérieur de transactions complexes. Les transactions par lots, qui sont conçues pour simplifier les paiements, peuvent également créer des opportunités pour les attaquants. Parce qu'elles regroupent plusieurs actions. Il devient plus difficile pour les utilisateurs de passer en revue chaque approbation ou transfert. Cette obscurité permet aux attaquants d'introduire des opérations frauduleuses. Sans être remarquées jusqu'à ce qu'il soit trop tard.

Leçons pour la communauté

Les experts soulignent la nécessité d'une extrême prudence lors de l'utilisation de multi-send. Ou même en utilisant des fonctionnalités de paiement par lots. Chaque approbation de contrat doit être examinée caractère par caractère pour éviter toute confusion avec des adresses ressemblantes. Même un seul détail négligé peut entraîner des pertes majeures, comme cela a été vu dans ce cas. Les entreprises de sécurité recommandent également aux utilisateurs de minimiser l'utilisation des extensions de navigateur. Ils peuvent également vérifier les applications non vérifiées connectées aux portefeuilles.

Maintenir les logiciels à jour, utiliser des portefeuilles matériels pour les approbations et vérifier les adresses des contrats par le biais de sources fiables. Cela peut réduire le risque de telles exploitations. L'incident est un rappel de la nécessité de renforcer les protections des utilisateurs pour les plateformes. Des avertissements renforcés, le marquage automatique des contrats similaires et une meilleure visibilité des transactions pourraient aider à prévenir des attaques similaires.

Un rappel coûteux

La perte de 3,047 millions de dollars est un autre rappel des enjeux élevés dans la finance décentralisée. Alors que Safe et Request Finance restent des outils populaires. Les attaquants exploitent de plus en plus leur complexité. Pour les utilisateurs, la prudence est la seule véritable défense. Dans ce cas, les attaquants ont compté sur la subtilité, la préparation et un faux convaincant. Malheureusement, cela a suffi à tromper même une configuration multisignature pour donner accès. L'incident montre que dans la crypto, chaque clic et chaque approbation comptent.