Survivre à l’hiver crypto en attendant le bull run Bitcoin : Faux Airdrop, vrais escrocs
Bienvenue dans votre nouvelle chronique sur le Journal du Coin. Une fois n’est pas coutume, nous laisserons de côté notre optimisme naturel sur le potentiel et l’avenir de Bitcoin et de l’industrie crypto au sens large, pour jeter une lumière crue et sans concession sur les coulisses les moins reluisantes du secteur. En effet, cette rubrique aura vocation à exposer, disséquer, expliquer – et si possible prévenir – les diverses escroqueries, pièges et autres scams qui tendent à proliférer dans l’ombre d’une industrie en pleine adolescence, à la croisée des nouvelles technologies et de la Finance 2.0. Un mélange qui compose probablement le pire cocktail qui soit pour l’investisseur débutant ou l’amateur enthousiaste, mais un peu naïf : si l’ivresse est garantie, la gueule de bois sera, en effet, parfois carabinée !
Prêt à arpenter le petit musée des horreurs crypto en notre compagnie (et à en sortir, espérons-le, un peu plus aguerri) ? On commence aujourd’hui par un grand classique : l’arnaque au faux airdrop.
Survivre à l’hiver crypto en un sommaire :
Petit manuel de survie crypto à l’intention de l’investisseur avisé
La crypto est un sujet aussi passionnant qu’il sait être dangereux. Si, bien compris, Bitcoin vous ouvrira des portes menant à des potentiels insoupçonnables, il servira également de séduisant prétexte aux escrocs de tous poils pour tenter de vous faire tomber dans une multitude de pièges.
Qu’on comprenne bien cependant l’intention de l’auteur derrière ces quelques lignes : en 2023, vous DEVEZ vous intéresser au sujet Bitcoin, au même titre que des géants de la finance ou des pays entiers.
Pour autant, il serait naïf d’affirmer que le secteur crypto ne représente pas un terrain dangereusement miné pour quiconque s’y engagerait sans précaution d’un pas aussi volontaire que non préparé.
Le propos de cette série d’articles dont vous nous faites le plaisir de parcourir le premier opus est donc triple :
- Exposer des exemples concrets de pièges, d’arnaques, de dangers que tout un chacun est amené à croiser sur les réseaux sociaux, ou dans sa découverte du sujet crypto en ligne ;
- Les disséquer afin d’en mieux comprendre les rouages pervers, les mécanismes et les leviers que leurs auteurs tenteront d’actionner en vous afin de vous amener tout en douceur au clic fatidique ou à l’action fatale ;
- Vous éclairer et vous armer pour la suite et vous responsabiliser afin de vous permettre de développer des réflexes d’hygiène informatique de base et de cybersécurité fondamentale, tout en renforcant votre esprit critique.
Cette note d’intention étant posée, on aborde sans attendre notre premier cas criminel en l’espèce l’arnaque au faux airdrop.
Le Blur et l’argent du Blur
Sauf si vous découvrez le sujet crypto ce matin, l’actualité de la plateforme Blur ne vous aura pas échappé ces derniers mois. Ce concurrent très direct de la marketplace NFT OpenSea, c’est, en effet, fait remarquer par une politique de conquête marketing particulièrement agressive, marquée notamment par l’attribution de son token-maison, le… $BLUR (pourquoi se compliquer la vie ?), à destination de ses utilisateurs.
S’il est de coutume dans notre industrie de rappeler que « l’argent magique n’existe pas », on conviendra cependant que certaines opérations de distributions de tokens (un des autres noms des coins, ou cryptomonnaies) se sont parfois révélées particulièrement lucratives. Ainsi, certaines opérations de largage, ou airdrop, ont parfois atteint une valeur de plusieurs dizaines de milliers de dollars (on pensera au $APE des Bored Apes, ou encore au token $ENS d’Ethereum Name Service).
Bien sûr, qu’il s’agisse du token BLUR ou d’autres opérations, chaque airdrop est toujours assorti de conditions et contraintes particulières, limitant mécaniquement ses bénéfices à certains « early adopters » ou investisseurs bien informés. Il n’empêche : demeure dans l’esprit du grand public que des airdrops massifs et lucratifs sont « normaux » dans la crypto. Et, c’est sur cette perception biaisée que reposent essentiellement les arnaques aux faux airdrops dont notre victime du jour a été la cible.
Arnaque au faux airdrop : un drame en 3 actes
Commençons par remercier l’infortuné Baxt38, protagoniste de ce pénible épisode, qui a accepté que sa mésaventure serve d’illustration et d’enseignement au profit du plus grand nombre.
L’appât
Baxt38 est un amateur de crypto aguerri, il s’estime raisonnablement prudent, et il est habitué aux manipulations de wallet et à exécuter des transactions complexes sur différents réseaux.
Pourtant, une combinaison de malchance et de manque de vigilance va le faire tomber dans un piège qui va aboutir au siphonnage de son wallet.
Tout commence par l’apparition d’un « tweet sponsorisé » sur son fil Twitter.
Il reste « 3 heures pour récupérer un airdrop de $BLUR ».
Cette phrase toute simple appuie lourdement sur un des leviers les plus puissants qui soient : une opportunité surgit, mais attention : il faut faire vite ! Quelle que soit la forme ou l’apparence que ce levier prend, le fonds est toujours identique et vise à vous faire abandonner votre rationalité, occultée par un sentiment d’urgence. Vous l’avez bien sûr reconnu, c’est le fameux FOMO (la peur de manquer une occasion lucrative).
Baxt38 le résume bien, après coup :
« C’est la contrainte de temps qui m’a fait défaut. J’ai interagi avec le vrai Blur pour l’airdrop il y’a peu et puis je suis le compte officiel. Alors quand ce tweet est apparu dans mon feed je n’ai pas fais attention au fait qu’il s’agissait d’un message sponsorisé et que donc ce n’était pas le compte Blur que je suivais . Avec cette phrase « vous avez 3h pour récupérer votre airdrop » j’ai copié le lien direct et voilà …».
Si l’intéressé reconnaît un manque de vigilance, il a également été victime à la fois des circonstances (il suit le compte officiel dont le faux compte est cloné), il a déjà interagi avec la plateforme (il est donc en terrain apparemment connu), mais également d’un manque de rigueur s’agissant des standards de Twitter. En effet, la plateforme du fantasque Elon Musk ne semble pas particulièrement perturbée par le fait de se faire payer pour laisser passer des tweets sponsorisés émanant d’évidentes fausses pages.
Bref, la combinaison était redoutable, et un clic sur le lien du faux tweet l’a emmené sur un site tout aussi factice.
Le piège
Quiconque traite du sujet scam en crypto (et des mécaniques d’escroqueries en général) le sait : le plus difficile est d’inciter la future victime à franchir le premier clic.
Il ne reste plus ensuite qu’à l’accompagner en douceur dans un canal de renforcement tout en maintenant intacte sa suspension d’incrédulité. C’est une technique qui est communément utilisée dans l’industrie cinématographique et de loisir et qui renvoie à quelque chose de profondément humain : la tendance à la rêverie et au lâcher-prise.
Une façon de rappeler que personne n’est à l’abri du phénomène, en dépit de la tenace certitude qui généralement nous habite selon laquelle « ça ne m’arriverait pas à moi !».
Quoi qu’il en soit, une fois sur le site vérolé, Baxt a synchronisé son wallet avec le smart contract mis en place par les malfaisants.
Sauf que, bien évidemment, la commande ne permettait pas de récupérer un quelconque airdrop. Cependant, il a plutôt ouvert un accès complet et immédiat à l’ensemble des actifs de son portefeuille. À la clé, la perte de 0.5 ETH et de quelques précieux NFT.
À ce stade, certains expliqueraient doctement qu’il « aurait suffi » de bien détailler le message d’autorisation (les fameux « approvals ») au moment de valider les transactions, pour constater qu’il y avait un problème évident en termes de droits accordés. Si ce n’est pas formellement faux, on insistera cependant de nouveau sur le fait que tous les détails de ce genre de scam sont travaillés de manière à « endormir » la vigilance de la future victime, avec une évidente efficacité au regard du nombre d’arnaques de ce type.
Dissection post mortem : 1 minute de vérification pour éviter 99% des arnaques
Dans l’immense majorité des cas, quelques vérifications réflexes et une poignée de secondes suffisent à identifier une écrasante majorité des tentatives d’escroqueries. Voilà pour la bonne nouvelle. L’occasion également de rappeler que votre pire adversaire en la matière… c’est vous !
En effet, c’est vous qui allez plus ou moins confusément accepter de sacrifier quelques opérations de sécurité basique de peur de « rater l’occasion de l’année » ou choisir de laisser de côté votre esprit critique, au profit du sentiment d’avidité que chacun porte en lui à divers degrés. Enfin, c’est bien vous qui en fin de compte, allez cliquer sur le lien fatidique (et ce, à plusieurs reprises) vous amenant à la disparition de vos fonds.
Il ne s’agit pas de vous culpabiliser, mais de simplement rappeler que le fameux « connais-toi toi-même » Socratique reste d’une parfaite pertinence, y compris dans le domaine de l’investissement crypto.
Ce préalable étant rappelé, évoquons maintenant les « red flags » formels du tweet originel :
- Noms de compte Twitter. L’intitulé du compte officiel de Blur est @Blur.io. Dans les screens un peu plus haut, on constate qu’il a été grossièrement imité par un lBIur.Lo avec l’utilisation (classique) des lettres « i » « I » et « l », très proches graphiquement dans l’alphabet romain.
- Sur le fonds du message : utilisation d’une phrase random avec des mots-clefs agressifs de type « top », « print millions », « smartest flippers »… une sémantique très degen et « to the mooniste », pas vraiment raccord avec la manière de communiquer de Blur (même si l’on conviendra que sur ce sujet particulier, la frontière est parfois floue entre marketing un peu gras et authentique manipulation).
- Url du site scam : le site officiel Blur fonctionne sur le domaine https://blur.foundation. Le faux site utilise de nouveau la même technique que le compte Twitter en intervertissant les lettres « i » et « l » (voir screen).
Face à une configuration de ce type, le reflexe de sécurité est assez simple : ouvrir une nouvelle fenêtre de navigation et rechercher le site officiel (ou, encore mieux, passer par un favori pré-enregistré par vos soins).
Même chose pour les comptes sur les réseaux sociaux : si une offre vous semble suspecte, commencez par rechercher par précaution le compte officiel. Encore mieux (en cas de piratage dudit compte, comme pour The Sandbox récemment par exemple), prenez 5 minutes pour faire le tour d’autres comptes de la plateforme (Facebook, Medium, Tiktok, Instagram…). Si vous ne trouvez aucune trace de la séduisante opération initiale, il y a probablement baleine suspecte sous gravillon…
Et pour ceux qui voudraient franchir encore un pas supplémentaire, pensez à vérifier l’url d’un site suspect en allant faire un tour sur le site spécialisé Scam Adviser.
L’occasion de constater que le site sur lequel on vous promet une richesse aussi rapide qu’inattendue a été créé quelques heures plus tôt.
On arrive déjà à la fin de ce premier épisode qui, je l’espère, vous aura plu, en dépit d’un sujet de fonds peu réjouissant. La mauvaise nouvelle, c’est que vous allez régulièrement avoir à slalomer entre les pièges dans votre épopée crypto. L’excellente nouvelle, c’est qu’en notre compagnie, vous allez acquérir toutes les capacités requises pour devenir un pilote hors pair et que la période pour vous exercer est idéale, en attendant des jours meilleurs.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).