8 millions de $ envolés – Uniswap : une attaque phishing pas comme les autres
Du phishing, oui, mais un peu différent – Depuis toujours, internet regorge d’arnaques en tout genre. Sans grande surprise, plusieurs types d’attaques sont réutilisés dans l’écosystème des cryptomonnaies pour mettre la main sur les précieux actifs des utilisateurs. Par exemple, l’écosystème crypto est témoin d’un nombre grandissant d’attaques phishing, ciblant tous les plus gros projets. La dernière cible en date n’est autre que le DEX roi d’Ethereum (ETH) : Uniswap.
CZ expose le hack d’Uniswap
Au milieu de la nuit, plusieurs activités potentiellement malveillantes ont été détectées sur la plateforme d’échange décentralisée Uniswap. C’est le CEO de Binance, Changpeng « CZ » Zhao, qui a tiré la sonnette d’alarme aux alentours de minuit heure française :
« Notre service de renseignements sur les menaces a détecté une attaque potentielle sur Uniswap V3, sur la blockchain ETH. Le pirate a volé 4 295 ETH jusqu’à présent, et ils sont en train d’être blanchis par Tornado Cash. Quelqu’un peut-il avertir Uniswap ? Nous pouvons aider. Merci. »
Rapidement, la thèse de l’attaque est privilégiée. Cependant, des informations publiées par l’entreprise PeckShield ont remis en cause cette thèse. En effet, selon PeckShield, il s’agit d’« opérations normales de collecte de frais et de retrait de liquidités de plusieurs positions sur Uniswap ».
En effet, l’analyse des transactions laisse présager un comportement normal. Cependant, un point restait très étrange : l’adresse de réception des fonds les a systématiquement fait transiter via Tornado Cash, par lot de 100 ETH. Un schéma habituellement lié à des activités malveillantes.
Verdict des experts : Uniswap victime d’une attaque phishing
Évidemment, un tel évènement ne peut se produire sans que son lot de développeur et enquêteur du web 3 se penchent sur l’affaire. Ainsi, dans les heures qui ont suivi, plusieurs utilisateurs, dont @Sniko_, ont publié les résultats de leur enquête.
D’après les premières trouvailles, il ne s’agirait pas d’une faille dans les contrats d’Uniswap, mais d’une attaque de type phishing rondement menée.
Pour rappel, une attaque par hameçonnage, en français, est un type d’attaque qui vise à copier à l’identique le site d’un service donné pour faire croire à l’utilisateur qu’il interagit avec le site officiel. Mais en réalité, celui-ci interagit avec une version vérolée du site. L’objectif est de récupérer ses clés privées où l’ inciter à signer une transaction malicieuse.
Au total, plus de 7 500 ETH ont transité par l’adresse de l’attaquant, soit plus de 8 millions de dollars. Ces derniers ont systématiquement été renvoyés vers le protocole Tornado Cash pour brouiller les pistes.
Une attaque phishing assez singulière
En pratique, l’attaque phishing a été menée sur la base d’un faux airdrop. Effectivement, l’attaquant a créé un contrat malveillant en « polluant les données » de celui-ci afin qu’Etherscan le considère comme le contrat légitime « Uniswap V3 : Positions NFT ».
Une fois « certifié » par Etherscan, le contrat malveillant a envoyé un jeton à de nombreuses adresses disposant de positions sur Uniswap. Le nom du jeton indiqué sur Etherscan renvoie vers un site internet imitant à l’identique la charte graphique d’Uniswap.
Le site a tout du site de phishing classique :
- Annonce d’un airdrop exclusif de jetons UNI ;
- Création d’un FOMO : « Si vous êtes en retard pour réclamer, vous le manquerez ! » ;
- Un bouton pour réclamer lesdits jetons.
Une fois que l’utilisateur aura cliqué sur le bouton, le site enverra les informations relatives à son adresse vers un autre site. Par la suite, le site tentera de dérober vos cryptomonnaies.
« En fonction de la chaîne vers laquelle votre injection web 3 est dirigée, elle essaiera, soit de voler des actifs en appelant (incorrectement) setApprovalForAll(), soit de vous demander d’envoyer le jeton natif à son adresse. »
Dans les 2 cas, si l’utilisateur signe la transaction, ses fonds et ses NFT seront alors accessibles par l’attaquant qui va immédiatement les retirer.
Cette attaque suis un schéma assez inhabituel pour un phishing. En effet, les attaques phishing sont normalement menées via des serveurs Discord compromis. Ce fut, par exemple, le cas du Discord de Bored Ape Yacht Club.
Pour vous, la technologie blockchain et les cryptomonnaies seront bientôt au cœur du quotidien de chacun d’entre nous. Vous pouvez vous exposer à Bitcoin, Ethereum et aux autres tokens sur l’exchange leader. Inscrivez-vous vite sur la plateforme Binance, et économisez 10 % sur vos frais de trading en suivant ce lien (lien commercial).