Un hacker dérobe 1,3 million de dollars en jetons ARB grâce à une attaque “d’empoisonnement d’adresse”

Un piratage de crypto-monnaies, on en voit se produire chaque jour et de plus en plus de pirates ont recours à la technique “d’empoisonnement d’adresse”. En effet, grâce à cette technique, une adresse Arbitrum a réussi à s’emparer de plus de 933 000 jetons ARB provenant de plus de 630 portefeuilles différents.

Le pirate s’est fait passer pour un bénéficiaire de l’airdrop d’Arbitrum

Cette adresse a d’abord été considérée comme un bénéficiaire chanceux d’un airdrop de jetons Arbitrum. Mais pour finir, elle s’est avérée être à l’origine d’une escroquerie touchant plus de 600 portefeuilles cryptographiques différents, pour un total de plus de 930 000 jetons ARB. 

D’après les informations obtenues par la société de renseignement Blockchain Arkham, qui s’est confiée à Decrypt, on apprend que cette adresse :

 “Appartient à un pirate informatique qui vole les fonds des utilisateurs d’Arbitrum”.

De plus, en examinant de plus près les transactions de l’adresse frauduleuse en question, il apparaît que le 24 mars, elle a reçu 933 365 jetons ARB provenant d’une autre adresse Arbitrum. Cette transaction est intervenue soit un jour après le largage très attendu sur le réseau de couche 2. Rappelons que le jeton ARB est le jeton de gouvernance natif d’Arbitrum, la solution de mise à l’échelle de couche 2 pour Ethereum.

Sur la plateforme de la blockchain d’Arbitrum, le créateur du contrat à l’origine de ces jetons est identifié sous le pseudonyme de « Fake_Phishing18 ».

Le hack a rapidement été signalé, mais il laisse de nombreuses victimes derrière lui

Le chercheur indépendant en chaîne 0xKnight a confirmé avoir trouvé des témoignages de victimes de cette attaque. En effet, des utilisateurs se sont plaints que leurs jetons ARB avaient été « transférés automatiquement » dans les portefeuilles du pirate.

Brainsy, un développeur de contrats intelligents Ethereum, a également signalé le contrat malveillant créé par « Fake_Phishing18 » le 24 mars. Selon ce dernier, l’interaction avec ce contrat génère une demande de transaction supplémentaire qui semble provenir du portefeuille de l’expéditeur, mais qui en réalité est une attaque de phishing.

MetaMask a mis en garde contre une attaque appelée « empoisonnement d’adresse ». Ce type d’attaque consiste en une tentative de la part des pirates de perturber la liste d’adresses des portefeuilles des utilisateurs. Pour y arriver, les hackers envoient des transactions arbitraires à partir d’adresses très similaires à celles avec lesquelles l’utilisateur a déjà interagi.

Dans ce cas précis, le pirate a combiné une attaque de phishing via un contrat intelligent malveillant avec un empoisonnement d’adresse. Selon Brainsy, cela donne l’impression que la transaction provient du portefeuille des utilisateurs.

Il est également rapporté que le pseudo « Fake_Phishing18 » est associé à une autre adresse appelée « Fake_Phishing47 », qui a déployé un faux contrat de jeton ARB le 21 mars.

D’après l’image ci-dessous, il semblerait que le compte portant connu sous le pseudo « Fake_Phishing18 » ait créé le contrat pour les faux jetons ARB, puis les a transférés à « Fake_Phishing47 ».

 

Le pirate n’était pas à son premier essai d’hacking de jetons ARB

Il est possible que la même entité soit à l’origine d’un faux site Web Arbitrum qui prétend que les utilisateurs qui interagissent avec le site lui donneront le contrôle de leurs portefeuilles.

Par exemple, une page Web identique au site de réclamation officiel d’Arbitrum a été diffusée dans certains groupes de réseaux sociaux le jour de l’airdrop d’Arbitrum.

Le faux site Web a trompé les utilisateurs pour qu’ils transfèrent des jetons ARB en leur nom, qui ont ensuite été transférés dans leurs portefeuilles. La seule différence entre le faux et le vrai site est qu’une minuterie de compte à rebours a été ajoutée sur le faux site pour ajouter un sentiment d’urgence.