Le Ice phishing, une nouvelle menace qui pèse sur le Web3
Le Web3 est encore dans sa phase naissante, mais est déjà confronté à des problèmes de sécurité, dont fait partie l’Ice phishing. L’émergence de ces nouvelles menaces met en évidence une certaine vulnérabilité de la blockchain, pourtant jugée fiable.
L’Ice phishing, une variante de l’hameçonnage du Web2
Le phishing reste probablement l’une des techniques d’attaques les plus utilisées pour cibler les utilisateurs du Web. Mais il s’agit là d’une méthode parmi tant d’autres. Les hackers ne cessent en effet de développer des tactiques de plus en plus sophistiquées pour escroquer les utilisateurs d’Internet. L’Ice phishing en fait partie. Il s’agit pour ainsi dire d’une variante de l’hameçonnage qui cible spécifiquement l’environnement web décentralisé, le Web3 en l’occurrence.
Les chercheurs de Microsoft 365 Defender se sont penchés sur cette nouvelle menace alarmante. Dans leur rapport publié sur le blog de la société, ils expliquent qu’il s’agit d’une attaque où l’utilisateur est amené à signer une transaction qui donne à un attaquant le contrôle de ses tokens. Dans ce schéma, l’attaquant n’aura même pas besoin de voler les clés privées de la cible. Ceci est possible pour les principales normes de tokens qui implémentent une fonction d’approbation. Cette dernière permet à un utilisateur de déléguer l’autorité à un tiers.
Comment se protéger de cette attaque ?
Lors d’une attaque d’Ice phishing, les criminels tentent de tromper les victimes pour qu’elles donnent leur approbation sur le contrôle de leurs tokens. Les escrocs utilisent pour ce faire des contrats intelligents. Les cybercriminels peuvent infiltrer un échange crypto pour injecter du code malveillant dans ces contrats intelligents. Cela leur permet d’échanger l’adresse du wallet de la cible contre la leur. Lorsqu’un utilisateur signe le contrat, acceptant une transaction, le criminel obtient l’autorisation d’accéder à ses fonds.
Selon les chercheurs de Microsoft, il y a moyen de se protéger des attaques d’Ice phishing. Les utilisateurs peuvent notamment vérifier soigneusement si le contrat intelligent qu’ils s’apprêtent à signer est audité et immuable. Il est également possible de vérifier les fonctionnalités de sécurité de ces contrats intelligents (vérifier par exemple la capacité de réponse aux incidents). Microsoft suggère aussi d’avoir recours aux solutions de sécurité blockchain comme celles de CertiK et de passer par des plateformes analytiques comme Etherscan pour toute transaction.
L’Ice phishing et autres escroqueries crypto deviendront probablement plus courantes à mesure que la popularité de la cryptomonnaie continuera d’augmenter. Pour se prémunir contre les risques, il faut connaître, comprendre et partager les meilleures pratiques de sécurité basées sur la blockchain.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Je tombe par hasard dans la cryptosphère et assiste à la naissance d’une ère nouvelle, celle de la DeFi. Tout est question de liberté économique, de transparence et d’opportunités accessibles à tous. Voilà un univers qui gagne à être connu.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.