$24M Parti en quelques minutes : voici comment la baleine de phishing a été vidée

Un whale de la crypto a appris à ses dépens pourquoi il ne faut jamais cliquer sur des liens aléatoires. En septembre 2023, quelqu’un a perdu 1 million d’$24 grâce à une attaque de phishing sur le service de staking de Rocket Pool — et à l’instant, le hacker a déplacé 1 million d’$10 de ETH vers Tornado Cash, probablement pour encaisser.

Ce qui s’est réellement passé

L’attaquant a utilisé une technique classique d’ingénierie sociale : il a fait en sorte que la victime autorise une transaction « Augmenter l’Autorisation ». Ça paraît innocent, non ? Mais en réalité, cette permission donnait au hacker un chèque en blanc pour siphonner tous les tokens ERC-20 de ce portefeuille.

En deux vagues, l’attaquant a vidé :

• 9 579 stETH (Ethereum staké)
• 4 851 rETH (jetons de réception de Rocket Pool)

Le total des pertes : 1 million d’(.

La piste de l’argent

Les détectives de la blockchain chez PeckShield ont suivi les fonds, qui ont été échangés contre 13 785 ETH et 1,64 million de DAI. Le million d’ETH a été transféré vers Tornado Cash le 21 mars — une opération classique de blanchiment pour dissimuler la traçabilité des transactions.

Ce n’est pas isolé. En février, des scams de phishing ont drainé près de 1 million d’) chez des utilisateurs de crypto, dont 78 % sur Ethereum et 86 % en tokens ERC-20.

Le vrai problème : les autorisations de tokens sont risquées

Ce que la plupart ne réalisent pas : quand vous interagissez avec un protocole DeFi ou que vous créez un NFT, vous signez souvent un contrat intelligent qui dit « cette adresse peut déplacer mes tokens ». Si ce contrat ou le site est compromis, vous êtes fichu.

Quelques jours après cette attaque, une autre victime a été touchée via un ancien contrat d’échange Dolomite — 1,8 million de dollars drainés d’utilisateurs qui avaient déjà autorisé cette adresse. Dolomite a dû agir rapidement pour demander aux utilisateurs de révoquer ces autorisations au plus vite.

La lueur d’espoir

Toutes les attaques ne réussissent pas à grande échelle. Lorsqu’un site comme Layerswap a été compromis le 20 mars, leur fournisseur DNS a détecté rapidement, et seulement 100 000 dollars ont été siphonnés, affectant environ 50 utilisateurs. Ils remboursent tout le monde, avec une compensation supplémentaire.

Ce que vous devez vraiment faire

1. Ne jamais approuver des tokens illimités — la plupart des protocoles permettent de fixer une limite personnalisée
2. Révoquez les anciennes autorisations que vous n’utilisez plus — vérifiez sur Etherscan ou revoke.cash
3. Vérifiez les URL avant de connecter votre wallet — les sites de phishing ressemblent comme deux gouttes d’eau aux vrais
4. Réfléchissez à deux fois avant de signer des contrats — surtout via des DM Discord ou des liens aléatoires

Les entreprises de sécurité crypto et la communauté ont besoin de meilleurs systèmes d’alerte précoce, mais honnêtement ? La meilleure sécurité, c’est la paranoïa. Considérez chaque lien comme faux jusqu’à preuve du contraire.