Accéder au contenu principal
Cotations par TradingView

Crypto-actif, 8 conseils pour se protéger des arnarques et menaces !

Image
Par

MetaMask Security :

9 astuces pour les portefeuilles cryptographiques pour éviter ces 5 arnarques et menaces de piratage coûteuses !

À mesure que l'adoption de la crypto-monnaie augmente et que la popularité des dApps augmente, l'utilisation d'extensions Web populaires augmente également . Avec de plus en plus de débutants en crypto utilisant ces outils, les escrocs en ont profité pour escroquer de nombreux investisseurs à partir de gros volumes d'actifs cryptographiques précieux.

Que vous soyez nouveau dans le monde de la cryptographie ou un participant régulier au métaverse, il est important de rester vigilant et de vous tenir au courant des dernières escroqueries qui abondent dans l'espace de la cryptographie. De cette façon, vous ne serez pas victime d'un de ces canulars. À la lumière de cela, nous avons inclus :

  1. 5 menaces MetaMask courantes à surveiller, y compris les escroqueries aux pots de miel, les tirages de tapis, le phishing et les fausses extensions MetaMask
  2. 9 conseils de sécurité pour que vos actifs restent en sécurité.



Menace 1 : la fausse extension MetaMask draine les comptes d'utilisateurs

Toutes les fausses extensions ne sont pas aussi évidentes que celle-ci (source Reddit)

Il a été découvert qu'un groupe nord-coréen infâme appelé BlueNoroff ciblait des startups de crypto-monnaie dans 15 pays en utilisant des documents non authentiques et de fausses extensions MetaMask.

En raison de la nature sophistiquée de l'attaque, les chercheurs pensent que le groupe est un sous-groupe du gang nord-coréen Lazarus , dont les opérations clandestines ont échappé aux chercheurs depuis sa création il y a plusieurs années.

Selon un rapport de Kaspersky , BlueNoroff a pu violer la sécurité des entreprises et cartographier les interactions entre leurs employés afin de proposer des méthodes potentielles d'ingénierie sociale.

Dans certains cas, ils ont obtenu les informations en piratant le compte LinkedIn d'un employé et en partageant un lien de téléchargement vers un document macro directement sur la plate-forme. En utilisant de vraies discussions que l'employé a eues sur LinkedIn, BlueNoroff a pu nommer les documents macro-lacés en conséquence, puis cibler l'employé au bon moment, donnant l'impression qu'il s'agissait d'un document interne officiel de l'entreprise.

Le groupe attachait également un tracker au document qui leur envoyait une notification dès qu'il était ouvert. Une fois le fichier libéré, la victime serait encouragée à ouvrir un autre fichier de raccourci qui exécutait une série de scripts pour accéder à la machine de l'employé avant de lancer une liste de fonctionnalités malveillantes.

 


Grâce au piratage des employés, BlueNoroff a pu accéder aux informations d'identification des utilisateurs, qu'ils pouvaient utiliser pour réaliser une infiltration encore plus profonde du réseau. Ce faisant, ils ont finalement pu obtenir des fichiers de configuration pertinents pour le logiciel de crypto -monnaie de l'entreprise en question . Ensuite, ils surveillaient les utilisateurs pendant des semaines ou des mois et collectaient les frappes au clavier et d'autres données.

La principale méthode utilisée par les pirates pour voler les actifs cryptographiques consistait à remplacer les principaux composants des extensions MetaMask des employés par des versions falsifiées créées par le groupe. Afin de falsifier les extensions, une analyse approfondie de 170 000 lignes de code a été nécessaire, ce qui est révélateur de l'expertise de BlueKoroff.

Les pirates attendraient que la victime initie une transaction, moment auquel ils modifieraient l'adresse du destinataire dans le backend. Puisqu'il est probable que la victime serait informée du piratage après la première tentative, les pirates modifieraient le montant de la transaction au nombre le plus élevé possible, vidant ainsi le portefeuille de tous les actifs.

Kaspersky attribue les hacks à BlueNoroff en raison de diverses similitudes dans la manière dont ces hacks ont été exécutés avec des incidents confirmés dans le passé ainsi que du fait que des caractères coréens ont été trouvés dans certains des fichiers malveillants.

Menace 2 :des parachutages NFT malveillants ciblent la vulnérabilité MetaMask

Le cryptographe et analyste en sécurité Alexandru Lupascu a révélé comment les utilisateurs de MetaMask qui accèdent à l'application sur des appareils mobiles risquent d'exposer leurs adresses IP si des acteurs malveillants leur larguent des NFT .

Lupascu, qui a cofondé le service de nœud de confidentialité OMNIA Protocol, a révélé comment l'accès aux adresses IP des utilisateurs est réalisé dans un article de blog . Il a expliqué qu'en frappant et en lançant des NFT sur l'adresse Ethereum d'un utilisateur connecté à MetaMask, les attaquants pourraient accéder à leur adresse IP pour exécuter des attaques ciblées.

Lorsque les mauvais acteurs connaissent une adresse de blockchain, ils peuvent créer des NFT avec des URL dirigées vers leurs propres serveurs et en transférer la propriété, a-t-il écrit. Il a ajouté que lorsque le portefeuille crypto récupère l'image distante du serveur, sa confidentialité sera compromise.

Selon Laspascu, il a informé l'équipe MetaMask de la vulnérabilité à la mi-décembre 2021. L'équipe a déclaré qu'elle publierait un correctif d'ici le deuxième trimestre de 2022. Cependant, compte tenu de la gravité de la menace, Lupascu a considéré cela comme "inacceptable". L'équipe a alors changé de position et s'est engagée à résoudre le problème dès que possible.

Lupascu a averti les utilisateurs de MetaMask de rester vigilants s'ils recevaient des NFT largués.

Menace 3 : Escroqueries MetaMask Honeypot/Tapis Pull

En décembre 2021, 400 investisseurs en crypto ont été victimes d'une escroquerie combinée de pot de miel et de tirage de tapis qui les a soulagés de la crypto-monnaie à hauteur de 1,8 million de dollars.

Afin d'exécuter l'arnaque, les escrocs ont réussi à créer un faux jeton MetaMask et ont convaincu les commerçants qu'il avait été vérifié en exploitant une faille dans l'application de trading DeFi DEXTools . Ils ont pu faire passer le jeton comme légitime en insérant du code dans le front-end de l'application DEXTools pour la paire Uniswap WETH/MASK . Une fois sélectionnée, la paire ouvrirait une fenêtre contextuelle confirmant la vérification de la pièce.

À la suite de leurs achats, les investisseurs ont été entraînés dans l'escroquerie combinée pot de miel/tir de tapis. Le mécanisme intégré aux contrats intelligents qui permet normalement aux détenteurs de jetons de vendre leurs pièces a été désactivé. Les escrocs semblent avoir programmé le contrat intelligent pour désactiver ce mécanisme uniquement lorsque le pool de liquidités valait plus de 1 million de dollars.

Par la suite, ils ont vidé le pool de liquidités Uniswap du jeton de 475 ETH , qui valait environ 1,8 million de dollars à l'époque. Les actifs volés ont ensuite été envoyés à la populaire application de mélange de pièces Tornado Cash avant d'être finalement envoyés dans un portefeuille de stockage à froid .


Pourquoi les utilisateurs sont-ils tombés amoureux d'un faux jeton MetaMask ?

Une partie de la raison pour laquelle l'escroquerie a connu un tel succès est qu'elle a joué sur la forte anticipation entourant la sortie du jeton natif de MetaMask, $MASK . L'équipe à l'origine du populaire portefeuille de navigateur Web a indiqué à plusieurs reprises qu'elle avait l'intention de lancer son jeton via un largage aérien sur les portefeuilles des utilisateurs existants. Lorsque l'arnaque s'est produite, beaucoup ont cru que la promesse s'était finalement concrétisée. Cette excitation initiale a fait grimper la valeur du jeton d'escroquerie de 2 600 %.

Lorsque le jeton a dépassé la barre d'évaluation de 1 million de dollars et qu'il n'a plus pu être vendu, des soupçons ont commencé à surgir. Certains détectives d'Internet ont même lancé leur propre enquête sur Twitter. Un utilisateur, @coby.eth , a découvert que les escrocs ont pu obtenir le statut vérifié du jeton en manipulant DEXTools. 

Qu'est-ce qu'une arnaque au pot de miel ?

Une arnaque au pot de miel cible les débutants en crypto et les investisseurs en crypto moins informés. C'est une tentative de jouer sur la cupidité du public. En règle générale, l'escroc utilise un contrat intelligent qui semble avoir un défaut de conception. L'utilisateur en proie croira qu'à cause de ce défaut, il peut drainer l' Ether du contrat à condition d'envoyer lui-même une certaine quantité au préalable. Cependant, lorsque l'utilisateur tente d'exploiter la faille, un mécanisme se déclenche qui empêche l'éther de se vider.

Avec ce type d'escroquerie, l'escroc s'appuie sur le fait que l'utilisateur sans méfiance est tellement concentré sur l'exploitation de la vulnérabilité évidente qu'il ne remarque pas la deuxième faille du contrat intelligent. Ce serait le défaut qui les empêche de drainer l'Ether et emprisonne également le leur. En fin de compte, la personne qui a tendu le piège est capable de repartir avec à la fois l'appât et la crypto que la victime a envoyée au contrat intelligent.

Qu'est-ce qu'un « tirage de tapis » ?


En crypto, un tirage de tapis fait référence à une arnaque où les développeurs attirent les investisseurs dans un projet avec de grandes propositions de valeur et beaucoup de battage médiatique sur les réseaux sociaux. Cependant, dans la plupart des tirages de tapis, il n'y a jamais vraiment de projet en plein essor dans le pipeline. Le tout est concocté uniquement dans le but d'une arnaque. 

Une fois que les utilisateurs commencent à investir dans le projet en achetant son jeton natif en échange d'une crypto-monnaie légitime, telle que Ether, l'escroc supprime la fonction de retrait du contrat intelligent de sorte que lorsque la valeur du jeton frauduleux augmente suffisamment, les investisseurs ne seront pas pouvoir encaisser. Dès que le pool de liquidités atteint une taille adéquate, les criminels s'enfuient avec le jeton légitime et laissent les investisseurs avec son homologue sans valeur, et il n'y a aucun moyen pour eux de récupérer leur capital.

Comme il est relativement peu coûteux et facile de créer des jetons et de les répertorier sur des échanges décentralisés (DEX) sans avoir besoin d'un audit de code, les tirages de tapis sont devenus très courants dans l' espace DeFi .

Menace 4 : e-mails et publicités de phishing MetaMask

L'un des moyens les plus simples mais les plus efficaces pour les escrocs et les pirates d'obtenir votre clé privée ou votre graine est de vous inciter à la fournir, en la demandant simplement. Les cybercriminels utilisent des e-mails de phishing et même des appels téléphoniques (voir arnaque Ledger et MEW) pour prétendre qu'ils proviennent de MetaMask, vous demandant de "vérifier" vos informations à des fins de connaissance de votre client (KYC). KYC est une exigence réglementaire qui identifie un titulaire de compte auprès des autorités, ironiquement pour étouffer le blanchiment d'argent. Les e-mails de phishing sont monnaie courante dans le secteur bancaire, et la crypto malheureusement aussi.


De plus, si vous avez déjà utilisé Google ou Youtube pour rechercher du contenu cryptographique, vous avez probablement rencontré de fausses publicités pour d'énormes escroqueries. Google fait un travail absolument horrible pour filtrer ces publicités cryptographiques frauduleuses écœurantes , et les utilisateurs peuvent facilement être dupés en tombant amoureux d'eux. Regardez toujours l'URL fournie, et si cela semble trop beau pour être vrai, c'est généralement le cas. Pour Youtube, les escrocs utilisent souvent d'anciennes images d'Elon Musk ou d'un leader de la cryptographie comme Vitalik Buterin ou Charles Hoskinson pour créer l'illusion qu'ils font des cadeaux. Ne tombez pas dans le panneau ! Ces criminels ciblent souvent votre cupidité, créant un FOMO qui vous oblige à agir.

Le phishing MetaMask vole des portefeuilles de crypto-monnaie via des annonces Google

Menace 5 : MetaMask peut-il être piraté en se connectant à des sites ou en donnant des approbations symboliques ? 

La connexion de votre extension MetaMask aux sites Web ne devrait pas vous mettre en danger, en théorie. Mais tout dépend des sites auxquels vous vous êtes connecté. Il est toujours important de s'assurer que le site auquel vous avez lié votre extension MetaMask est fiable, car les comptes peuvent être compromis par hameçonnage si les utilisateurs saisissent leur phrase de départ dans de faux sites Web. Si vous vous connectez à des sites frauduleux et approuvez les mauvais privilèges, ils peuvent vider votre portefeuille crypto.

Le site Web suivant peut être utilisé pour vérifier les sites auxquels vous vous êtes connecté et révoquer l'accès si nécessaire : https://tac.dappstar.io/#/ .






Comme le prouvent les menaces énumérées ci-dessus, il est extrêmement important de rester vigilant et de rester vigilant lorsque vous naviguez dans le monde du Web 3.0. Un faux pas et vous pouvez être victime d'une activité malveillante susceptible de vous débarrasser définitivement de vos crypto-actifs . Voici quelques-uns de nos meilleurs conseils de sécurité ci-dessous à garder à l'esprit pour tous les portefeuilles cryptographiques, y compris MetaMask et CoolWallets :

1. Ne partagez jamais votre phrase de départ avec qui que ce soit

N'oubliez pas que dès que quelqu'un a accès à votre phrase de départ, il a accès à tous vos actifs. Il est donc important de se rappeler de ne jamais le stocker sur un appareil connecté à Internet, où les pirates pourraient y accéder. Cela vaut également pour tout portefeuille qui vous a été donné par une autre personne. Écrivez-le sur une feuille de papier et rangez-le dans un endroit sûr dont vous vous souviendrez probablement.

2. Gardez toujours votre firmware/soft à jour

Garder à jour votre logiciel de sécurité sur vos appareils signifie qu'ils disposeront toujours des meilleures données disponibles pour détecter et prévenir les derniers piratages et escroqueries potentiels avant même que vous en soyez informé.

3. Ne téléchargez pas d'applications en dehors des canaux officiels 

Si l'App Store officiel d'Apple ou le Google Play Store ont accepté une application sur leur plate-forme, cela signifie que l'application, ainsi que les développeurs, ont été correctement vérifiés. Les équipes de ces marketplaces ont fait le travail pour vous.

4. Méfiez-vous des faux sites Web

Assurez-vous de ne pas être victime d'un piratage par hameçonnage en ne saisissant vos coordonnées que sur des sites vérifiés et sécurisés. Assurez-vous que toutes les URL avec lesquelles vous interagissez commencent par "https".

5. Méfiez-vous des fausses dApps

Lorsque vous recevez un lien dApp de quelqu'un, assurez-vous qu'il est authentique avant d'interagir avec lui.

6. Utilisez différentes adresses à des fins différentes

Utilisez des comptes distincts pour le stockage NFT , les enchères NFT et les demandes de largage aérien, etc. L'idée clé ici est d'éviter un point de défaillance unique dans votre système de sécurité cryptographique.

7. Examinez et révoquez vos approbations de jetons

Vous pouvez utiliser le site Web suivant pour examiner vos approbations de jetons et révoquer celles qui ne sont pas utilisées : https://etherscan.io/tokenapprovalchecker 

8. Méfiez-vous des faux comptes d'assistance

Les entreprises réputées comme Ledger ou CoolWallet ne vous contacteront jamais pour vérifier des informations personnelles. 

9. Faites attention aux informations que vous fournissez en ligne pour les parachutages et les compétitions

Le phishing se présente sous de nombreuses formes et suit généralement des missions de collecte d'informations soigneusement orchestrées par des pirates. À la recherche de parachutages sur Twitter et Telegram ? Fais attention. En fournissant toutes vos informations personnelles (nom, adresse, adresse publique, adresse e-mail, etc.), vous pourriez devenir une cible facile pour les mauvais acteurs qui collectent ces données privées à utiliser dans des tentatives de phishing contre vous. Participer à des parachutages, c'est bien, mais il est préférable de créer un compte jetable pour cela qui ne contient pas beaucoup de crypto.

Le verdict :

Parallèlement à l'adoption croissante de la crypto-monnaie, la cybercriminalité a augmenté ces dernières années. Dans un rapport de Chainalysis , les chercheurs ont estimé que des actifs cryptographiques d'une valeur totale de 7,7 milliards de dollars ont été escroqués aux investisseurs rien qu'en 2021, l'escroquerie la plus courante étant le tirage de tapis notoire, représentant 2,8 milliards de dollars de braquages ​​cette année-là. 

Bien que nous ayons décrit les diverses menaces associées à l'utilisation de l'extension MetaMask, les fonctionnalités de sécurité de l'application Web 3.0 en font toujours un portefeuille logiciel raisonnablement sûr. Presque tous les piratages et escroqueries qui se produisent sont dus à une erreur humaine et à une négligence générale. Ceci est renforcé par le fait que la plupart des compromis MetaMask ont ​​été réalisés par le biais d'attaques de phishing et de logiciels malveillants, plutôt que par des cyberattaques directes. 

À la lumière de cela, il est important de garder à l'esprit les conseils de sécurité ci-dessus lors de l'utilisation d'un portefeuille cryptographique. De plus, tous les investisseurs dans l'espace doivent veiller à effectuer leur propre diligence raisonnable avant d'investir dans un nouveau projet. Il est essentiel de garder la tête froide pour éviter d'être victime d'escroqueries.

Des solutions totalements sécures existent chez nos partenaires :

 

Trouver la solution la mieux adaptée 








Labels:
Location: Paris, France

Commentaires

Enregistrer un commentaire
Marchés financiers par TradingView

Vous êtes :

Les plus consultés

LE MORNING ZAPPING DE MARC FIORENTINO

Par
LE MORNING ZAPPING DE MARC FIORENTINO   Jeudi 10 mars 2022     CAC : +7,13%   15ème jour de guerre en Ukraine. La Russie continue à bombarder massivement les principales villes ukrainiennes. La ville de Marioupol est sous un feu continu. Une maternité a été touchée. L'Ukraine a encore déclaré qu'elle était prête à négocier et qu'elle était prête à renoncer à sa demande d'intégration à l'OTAN. Les indices boursiers se sont envolés. Principalement en Europe. UNE JOURNÉE FOLLE CAC 40 : +7.13% Dax : +7.92% EuroStoxx 50 : 7.44% Quelle journée ! Quelle hausse ! Certes nous vous incitions à ne pas paniquer hier matin, mais nous ne pensions pas que vous alliez vous précipiter sur les actions européennes avec autant d'enthousiasme après avoir lu la newsletter... Plus sérieusement, cette hausse nous dit beaucoup de choses sur l'ambiance qui règne actuellement sur les marchés.   POURQUOI ? La question se pose. Face à une hausse aussi spectaculaire, la plus forte depuis...
Enregistrer un commentaire
Read more »

Crypto : Analyse technique & Signal de trading sur Bitcoin et Ethereum

Par
Bitcoin et Ethereum  s cénario haussier & baissier  "Cher(e) lecteur, cher(e) trader, à l'issue de ta lecture, avant   je souhaite te faire profiter d'une appli gratuite que j'utilise au quotidien et que tu devrais aimer aussi." Bitcoin (BTCUSD)   BEAR Niveaux à surveiller - 40 000 $. Toute rupture convaincante ci-dessous entraînera le Bitcoin au niveau suivant de 37 000 $/34 000 $/30 000 $. Les zones de demande importantes sont de 28 000 $. Une brèche en dessous de ce niveau tirera le BTC à 24900 $. BULL Zone d'approvisionnement primaire - 42 525 $. La cassure ci-dessus confirme une tendance haussière mineure. Un saut au niveau suivant coûte 43 500 $/46 000 $. Barrière secondaire - 46 000 $. Toute violation au-dessus de cette barrière cible 50 000 $/52 000 $/60 000 $/69 000 $.CCI (50) et Woodies (CCI) se maintiennent au-dessus de la ligne zéro dans le graphique de 4 heures.      Ethereum (ETHUSD)    L'ETHUSD a regagné plus de 7 500 ...
Enregistrer un commentaire
Read more »

UNE ACTION OFFERTE JUSQU A 200€

Par
Le broker 100% mobile, sans commission et sans frontières. Investissez dans des actions et des ETF du monde entier pour 1€ par transaction. Créez des investissements programmés gratuitement. Votre Avantage filleul en utilisant notre lien : 1 action ou fraction d'action d'une valeur aléatoire comprise entre 5€ et 200€ après un 1er dépôt d'au moins 20€ dans les 21 jours qui suivent l'ouverture du compte-titres Rejoignez Trade Republic et commencez à faire travailler votre argent ! Pour vous inscrire et recevoir un bonus, utilisez ce lien personnel d’invitation :  Pour en faire bénéficier un ami, transmettez lui ce lien :   https://ref.trade.re/xmnz9m5d
Enregistrer un commentaire
Read more »