Ne jamais négliger la sécurité – Même en bear market, les arnaqueurs sont sur le pont. Ainsi, de nombreuses arnaques, dont le but est de dérober vos cryptomonnaies, sont perpétrées chaque jour. En pratique, Twitter s’avère être l’un des terrains de chasse favoris des arnaqueurs cryptos pour trouver de nouvelles victimes.
Sommaire
Twitter : le berceau des arnaques cryptos
Depuis le début du bear market, les montants dérobés par les arnaqueurs de cryptomonnaies sont en baisse. En effet, ces derniers ont récolté 1,65 milliard de dollars depuis le début de l’année. Bien que ce montant soit mirobolant, il représente une baisse de 65 % en comparaison avec l’année 2021. Malheureusement, cette baisse des rendements n’empêche pas les arnaqueurs de perpétuer leurs larcins.
Ainsi, le chercheur en sécurité @Serpent a publié un thread de qualité dans lequel il revient sur les arnaques cryptos les plus courantes sur Twitter.
8 arnaques cryptos répandues sur Twitter
Voyons ensemble 8 arnaques cryptos répandues sur Twitter et les moyens de les éviter.
Arnaque aux fausses lettres
La première arnaque présentée par Serpent est une arnaque vieille comme le monde. Celle-ci n’est autre qu’une attaque de type phishing. Pour rappel, une attaque de type phishing vise à envoyer les utilisateurs sur une copie vérolée d’un site connu.
Par exemple, Serpent a identifié plusieurs arnaqueurs tentant d’envoyer les utilisateurs vers une réplique du site du service Premint. Une fois sur le site, l’utilisateur sera invité à signer une transaction frauduleuse qui permettra à l’arnaqueur de drainer l’ensemble des NFT présents sur le wallet.
Pour berner l’utilisateur, les arnaqueurs vont créer des noms de domaine très similaires à celui du site officiel, en modifiant une des lettres par un caractère Unicode semblable.
Dans le cas de l’arnaque ci-dessous, l’attaquant a remplacé le « i » par un « i » sans point provenant de l’alphabet turc.
Pour se prémunir de ces attaques, il est conseillé de ne pas suivre n’importe quel lien et de toujours bien vérifier l’exactitude de l’URL.
Faux site Revoke.cash
Revoke.cash est un site internet extrêmement utile permettant de révoquer les autorisations accordées à des smart contracts. Initialement créé comme un outil de sécurité, les arnaqueurs utilisent à leur avantage la réputation de l’outil.
Une fois n’est pas coutume, les arnaqueurs vont tenter d’envoyer les utilisateurs sur une copie vérolée d’un site pour dérober les NFT et/ou cryptomonnaies présents sur le wallet.
Dans l’exemple présenté par @Serpent, l’arnaqueur tente de se faire passer pour un membre de l’équipe OpenSea en annonçant une faille. Par la suite, il tente d’envoyer les utilisateurs vers un faux site Revoke.cash. En effet, si on regarde de plus près l’URL, il ne correspond pas à celui du site originel.
Une fois de plus, vérifiez à 2 fois les URL des sites avec lesquels vous allez interagir.
Arnaque du compte étudiant
Nous avons déjà abordé cette arnaque, il y a quelques mois, sur le Journal du Coin.
Pour ce type d’attaque, l’arnaqueur va envoyer un message privé expliquant qu’il détient une adresse avec plusieurs milliers de dollars en stablecoins. Cependant, celui-ci explique ne pas être en mesure de retirer les fonds. Celui-ci donne généreusement sa seed phrase pour que l’utilisateur lui transfère les fonds.
En pratique, l’adresse ne dispose pas de token permettant de payer les frais de transaction. De ce fait, l’utilisateur peut être tenté d’envoyer des fonds pour dérober les USDT présents sur l’adresse.
Malheureusement, un bot surveille de près cette adresse et retire automatiquement tout jeton envoyé à l’adresse, entraînant des pertes pour l’utilisateur.
>> Il existe quand même des acteurs qui vous veulent du bien ! Le JDC vous offre 5 places pour la Binance Blockchain Week à Paris (lien commercial) <<
Hack de comptes vérifiés
Cette arnaque est un poil plus complexe que celles vues précédemment. Pour celle-ci, les arnaqueurs vont, dans un premier temps, hacker un compte vérifié ayant une bonne base d’abonnés. Par la suite, ils vont publier des messages depuis ce compte annonçant de faux airdrops ou de mints de NFT.
Comme à leur habitude, les arnaqueurs vont déposer un lien de type phishing au message. Les utilisateurs cliquant sur le lien seront amenés à signer une transaction frauduleuse permettant de siphonner leur wallet.
Notons que cette arnaque touche également Discord. En effet, de nombreux arnaqueurs réussissent à prendre le contrôle du compte d’un administrateur d’un serveur Discord et l’utilisent pour publier des liens de phishing.
Comme toujours avec le phishing, attention aux liens sur lesquels vous cliquez et les transactions que vous signez !
Arnaque aux faux Play2Earn
Pour cette arnaque, les escrocs vont se faire passer pour les créateurs d’un nouveau projet de play-to-earn.
Dans un message privé, ces derniers vont proposer aux utilisateurs de Twitter de participer à une bêta privée du jeu. Pour inciter les utilisateurs à y participer, les arnaqueurs vont proposer une compensation financière en échange d’un retour d’expérience sur le jeu.
Pour jouer, l’utilisateur devra télécharger le jeu depuis une source envoyée par l’arnaqueur. Évidemment, les fichiers du jeu sont infectés par toutes sortes de malwares.
« Après avoir ouvert les fichiers, nous pouvons voir que le fichier .rar contient de véritables bibliothèques de jeux pour donner une impression de légitimité. L’exécutable, cependant, est infecté et volera les cookies ainsi que les données de votre navigateur (y compris les données d’extension). »
Thread Twitter de @Serprent
Par conséquent, l’arnaqueur sera en mesure d’accéder à vos extensions, notamment votre wallet Metamask.
Arnaque aux faux contrats NFT
Cette arnaque cible majoritairement les artistes produisant des NFT. C’est notamment via ce type de fraude que le serveur Discord du projet Aristocrats a été corrompu en juillet dernier.
En réalité, l’arnaqueur va prendre contact avec un artiste NFT pour lui proposer une mission rémunérée. Celui-ci va tout faire pour gagner la confiance de l’artiste avant de lui envoyer un fichier (souvent PDF) qui récapitule les besoins du projet.
Malheureusement, le fichier en question n’est pas un PDF, mais un fichier .scr qui, une fois exécuté, récupérera tous vos cookies, mots de passe et données d’extension.
Arnaque aux faux bots Uniswap
Cette arnaque est principalement propagée dans les commentaires sous des tweets de personnes influentes dans l’écosystème.
Concrètement, un compte va publier un commentaire couplé avec une vidéo YouTube pour un bot qui fait du frontrunning sur Uniswap. Dans la vidéo, il est expliqué qu’il est possible de faire plusieurs milliers de dollars grâce à ce bot.
Dans la description, nous retrouvons tous les liens pour télécharger et utiliser le bot nous-mêmes. Une fois n’est pas coutume, c’est bien trop beau pour être vrai.
Effectivement, pour pouvoir utiliser le programme, il faudra envoyer des fonds sur le smart contract du bot que vous avez déployé. En parallèle, dès que le bot sera lancé, celui-ci retirera automatiquement retirer l’ensemble des fonds présents sur l’adresse et les envoyer sur celle de l’arnaqueur.
« Une fois que vous appelez l’une des fonctions du contrat, elle transfère tous les fonds du contrat à uniswapDepositAddress() qui est appelé à partir d’un autre contrat (par l’escroc) de GitHub, qui revient avec le portefeuille de l’escroc. »
Thread Twitter de @Serprent
Arnaque aux faux supports
Celle-ci est de loin l’une des plus connues. Elle est même souvent détournée par des utilisateurs pour se troller mutuellement.
En fait, des arnaqueurs ont une armée de bots qui scrutent attentivement Twitter à la recherche de certains mots clés, comme « Metamask », « Scam », « Recovery » ou encore « Wallet ». Dès qu’ils trouvent ces termes, ces derniers vont automatiquement répondre au tweet en proposant d’offrir leur aide.
Mais en réalité, ces arnaqueurs tentent de s’attaquer à des personnes ayant déjà été hackées à la recherche d’une aide.
Les arnaqueurs vont alors prétendre être développeurs et être en mesure d’aider la personne. Cependant, pour mener à bien leur mission, l’arnaqueur va prétendre avoir besoin de quelques ETH pour payer les frais de transaction pour déployer le smart contract qui permettra à l’utilisateur de récupérer ses fonds.
Prudence est mère de sûreté en crypto
Comme vous avez pu le voir, les arnaqueurs redoublent d’ingéniosité pour s’accaparer vos précieuses cryptomonnaies.
Il existe quelques règles de base pour vous protéger de ces arnaques :
- Vérifiez toujours à 2 fois les liens avec lesquels vous interagissez ;
- Ne téléchargez pas de fichiers provenant d’un inconnu ;
- Évitez de prendre des décisions tard le soir, car la fatigue engendre une baisse de la vigilance ;
- Si une offre est trop belle, il y a de grandes chances qu’il s’agisse d’une arnaque ;
- Ne stockez jamais vos clés privées en clair sur votre ordinateur ;
- Vérifiez toujours les transactions que vous signez. Cela ne prendra que quelques secondes et pourra éviter la perte de milliers de dollars.
Méfiez-vous également des projets obscurs où l’ensemble de l’équipe est anonyme et sans précédent dans l’écosystème. En effet, il y a de grandes chances que ces projets s’avèrent être des arnaques. Ce fut notamment le cas du projet SudoRare, où les créateurs se sont volatilisés avec les fonds des utilisateurs, 6 heures après son lancement.
Une vigilance accrue est indispensable pour éviter les pièges des crypto-arnaqueurs ! Envie d’assister à des conférences de qualité par des experts du Web3 ? Inscrivez-vous dès maintenant sur Binance. Le JDC vous offre 5 places d’une valeur de 880€ pour la Binance Blockchain Week. Tentez de les gagner par tirage au sort (lien commercial).
