Le voleur de Crypto canalise $10M ETH volé vers Tornado Cash

Je viens de regarder un vol fascinant se dérouler sur la blockchain. Un hacker astucieux a déplacé $10 millions d'ETH vers Tornado Cash après avoir réalisé l'une des escroqueries de phishing les plus habiles de 2023. Ce n'était pas une attaque aléatoire - ils ont spécifiquement ciblé une baleine crypto et se sont enfuis avec une fortune.

Le 21 mars, CertiK a repéré 3 700 ETH ( d'une valeur d'environ 10 millions de dollars ) étant transférés dans le service de mélange. Ces fonds faisaient partie d'un butin plus important de $24 millions volés en septembre dernier. Ce qui est incroyable, c'est à quel point l'attaque était simple mais efficace - la baleine est tombée dans le plus vieux piège du livre : approuver une transaction malveillante.

La victime a cliqué sur "Augmenter l'Autorisation" sur une transaction, remettant essentiellement aux attaquants les clés de son royaume crypto. Avec cette seule autorisation, le voleur pouvait dépenser les jetons ERC-20 de la victime à sa guise. Erreur classique, conséquences catastrophiques.

L'attaque s'est produite en deux vagues, d'abord en prenant 9 579 stETH, puis en revenant pour saisir 4 851 rETH de la même victime. Parlez d'ajouter l'insulte à la blessure ! Selon PeckShield, l'attaquant a converti le tout en 13 785 ETH et 1,64 million DAI, le répartissant sur divers portefeuilles.

Honnêtement, l'état de la sécurité dans cet espace me donne parfois envie de me tirer les cheveux. Rien qu'en février, $47 millions ont été perdus à cause de scams de phishing, avec un incroyable 78 % se produisant sur Ethereum. Pourquoi les gens tombent-ils encore dans ces pièges ?

Même les projets établis ne sont pas à l'abri. Il suffit de regarder Dolomite - leur ancien contrat a été exploité pour 1,8 million de dollars par des utilisateurs qui avaient accordé des autorisations il y a des années et les avaient oubliées. Ces exploits d'approbation deviennent une véritable plaie.

Toutefois, toutes les attaques ne réussissent pas. Layerswap a réussi à limiter les dégâts à "seulement" $100K lorsque leur site a été compromis. Ils remboursent les utilisateurs, ce qui est louable de leur part, mais la prévention aurait été préférable à la guérison.

La partie effrayante ? Ces attaques deviennent de plus en plus sophistiquées tout en exploitant les mêmes erreurs humaines de base. Si vous vous essayez à la crypto, vérifiez trois fois chaque approbation que vous accordez. Ces demandes de permission apparemment inoffensives pourraient être l'équivalent numérique de remettre votre portefeuille à quelqu'un.

C'est précisément pourquoi l'adoption grand public reste difficile - un seul clic erroné et vos économies disparaissent dans Tornado Cash. Le far west de la crypto continue, et tout le monde ne s'en sort pas avec son or.