Même les investisseurs avancés en cryptographie sont victimes d’attaques de phishing alors que (encore) des millions de dollars sont perdus

Il s’agit d’une erreur courante parmi les utilisateurs, qui affecte même les investisseurs ayant des connaissances avancées s’ils utilisent des crypto-monnaies facilitant ces attaques.

Someone lost (yet another) millions of dollars’ worth of funds to a phishing attack while using decentralized finance (DeFi). This is a common mistake among users, affecting even investors with advanced knowledge if using cryptocurrencies that facilitate these attacks.

Quelqu'un a perdu (encore) des millions de dollars de fonds à cause d'une attaque de phishing alors qu'il utilisait la finance décentralisée (DeFi). Il s’agit d’une erreur courante parmi les utilisateurs, qui affecte même les investisseurs ayant des connaissances avancées s’ils utilisent des crypto-monnaies facilitant ces attaques.

In this most recent event, the Ethereum address ‘0xAA1582084c4f588eF9BE86F5eA1a919F86A3eE57‘ lost 12,083.6 spEWTH, valued at $32.33 million. Ethereum’s blockchain registered the transaction to two addresses labeled “Fake Phishing” on September 28 at 6:15 a.m. UTC.

Lors de cet événement le plus récent, l'adresse Ethereum « 0xAA1582084c4f588eF9BE86F5eA1a919F86A3eE57 » a perdu 12 083,6 spEWTH, évalués à 32,33 millions de dollars. La blockchain d'Ethereum a enregistré la transaction à deux adresses étiquetées « Fake Phishing » le 28 septembre à 6h15 UTC.

Finbold consulted the Arkham Intelligence database, which suggests the address belongs to Shixing Mao, also known as DiscusFish on X. Right now, it still holds $8.25 million worth of tokens, of which $2.85 million are in DAI stablecoin.

Finbold a consulté la base de données Arkham Intelligence, qui suggère que l'adresse appartient à Shixing Mao, également connu sous le nom de DiscusFish sur X. À l'heure actuelle, il détient toujours 8,25 millions de dollars de jetons, dont 2,85 millions de dollars en stablecoin DAI.

Notably, Shixing Mao is an experienced crypto executive and co-founder of F2Pool and Cobo. If this address truly belongs to Mao, it is yet another cautionary tale about how even experts can fall victim to such attacks – urging the need to find universal solutions to avoid similar events.

Notamment, Shixing Mao est un dirigeant expérimenté en cryptographie et co-fondateur de F2Pool et Cobo. Si cette adresse appartient réellement à Mao, elle constitue une autre mise en garde sur le fait que même les experts peuvent être victimes de telles attaques – soulignant la nécessité de trouver des solutions universelles pour éviter des événements similaires.

1 in 7 crypto investors were victims of Phishing

1 investisseur crypto sur 7 a été victime de phishing

A survey from WalletConnect shows that nearly one in every seven cryptocurrency users has fallen victim to a phishing attack. According to WalletConnect, 14.4% of respondents said, “Yes, I have lost crypto due to a phishing attack or scam.”

Une enquête de WalletConnect montre que près d’un utilisateur de crypto-monnaie sur sept a été victime d’une attaque de phishing. Selon WalletConnect, 14,4 % des personnes interrogées ont déclaré : « Oui, j'ai perdu des crypto-monnaies à cause d'une attaque de phishing ou d'une arnaque. »

Accounts on X have reported some of the big numbers crypto investors lost while interacting with malicious contracts or addresses. A recent example involves Scam Sniffer‘s report on July 23 of a $4.69 million loss of Pendle (PENDLE) re-staking tokens.

Les comptes sur X ont signalé certains des gros chiffres perdus par les investisseurs en cryptographie lors de l’interaction avec des contrats ou des adresses malveillantes. Un exemple récent concerne le rapport de Scam Sniffer du 23 juillet faisant état d'une perte de 4,69 millions de dollars de jetons de re-staking Pendle (PENDLE).

Also, the $55 million DAI loss to a phishing attack Lookonchain reported on August 21, urging users to double-check transactions. In the first half of 2024, Scam Sniffer identified over $314 million stolen across Ethereum Virtual Machine (EVM) chains.

En outre, Lookonchain a signalé la perte de 55 millions de dollars du DAI suite à une attaque de phishing le 21 août, exhortant les utilisateurs à revérifier les transactions. Au cours du premier semestre 2024, Scam Sniffer a identifié plus de 314 millions de dollars volés sur les chaînes de machines virtuelles Ethereum (EVM).

On Finbold, we have reported plenty of these cases. Namely related to the TON ecosystem, Tether freezing suspicious activity, and the attacker who returned stolen wBTC.

Sur Finbold, nous avons signalé de nombreux cas de ce type. À savoir lié à l’écosystème TON, Tether gelant les activités suspectes et à l’attaquant qui a restitué le wBTC volé.

Yet, these are only part of a broader issue that costs users worldwide millions of dollars. Surprisingly, newer but less popular technologies and crypto protocols are already partially mitigating this issue.

Pourtant, ce ne sont là qu’une partie d’un problème plus vaste qui coûte des millions de dollars aux utilisateurs du monde entier. Étonnamment, des technologies et des protocoles cryptographiques plus récents mais moins populaires atténuent déjà partiellement ce problème.

How to avoid phishing attacks and wallet drains on DeFi?

Comment éviter les attaques de phishing et les fuites de portefeuille sur DeFi ?

Essentially, most of these attacks are due to human error, exploited in different ways. For example, connecting a wallet to a malicious application or signing a malicious permission or transaction.

Pour l’essentiel, la plupart de ces attaques sont dues à des erreurs humaines, exploitées de différentes manières. Par exemple, connecter un portefeuille à une application malveillante ou signer une autorisation ou une transaction malveillante.

The most natural way to avoid falling victim to a phishing attack or wallet drain is to double-check websites and understand what you are signing up for, literally. For that, users can prioritize wallets and protocols with easily readable transaction signing, disclosing the action in detail.

Le moyen le plus naturel d’éviter d’être victime d’une attaque de phishing ou d’une fuite de portefeuille est de revérifier les sites Web et de comprendre littéralement à quoi vous vous inscrivez. Pour cela, les utilisateurs peuvent prioriser les portefeuilles et les protocoles avec une signature de transaction facilement lisible, révélant l'action en détail.

However, more advanced technologies have already developed built-in solutions for crypto protocols that help prevent human errors, focusing on security.

Cependant, des technologies plus avancées ont déjà développé des solutions intégrées pour les protocoles cryptographiques qui aident à prévenir les erreurs humaines, en mettant l’accent sur la sécurité.

Native assets prevent phishing and wallet drains

Les actifs natifs empêchent le phishing et la fuite des portefeuilles

Popular blockchains like Ethereum (ETH), BNB Chain (BNB), Solana (SOL), Tron (TRX), Avalanche (AVAX), Algorand (ALGO), and Near (NEAR) all use a model where tokens work differently from their native assets, functioning through smart contract calls that require a previous special permission to move the funds.

Les blockchains populaires comme Ethereum (ETH), BNB Chain (BNB), Solana (SOL), Tron (TRX), Avalanche (AVAX), Algorand (ALGO) et Near (NEAR) utilisent toutes un modèle dans lequel les jetons fonctionnent différemment de leur natif. actifs, fonctionnant via des appels de contrats intelligents qui nécessitent une autorisation spéciale préalable pour déplacer les fonds.

Dave, also known as DBCrypto, commented about this model with Finbold.

Dave, également connu sous le nom de DBCrypto, a commenté ce modèle avec Finbold.

“The smart contract-based token model found on Ethereum, L2’s, and EVM chains is not only inefficient but also insecure, delaying Web3 adoption.”

"Le modèle de jeton basé sur un contrat intelligent trouvé sur les chaînes Ethereum, L2 et EVM est non seulement inefficace mais également peu sûr, retardant l'adoption de Web3."

On the other hand, chains like Cardano (ADA), Sui (SUI), MultiversX (EGLD), and Radix (XRD) use a native-asset token model. In this model, all tokens behave as native assets within the protocol, not requiring database permissions that can be exploited. Users need to sign every transaction to move tokens in their ownership, creating another layer of security.

D'un autre côté, des chaînes comme Cardano (ADA), Sui (SUI), MultiversX (EGLD) et Radix (XRD) utilisent un modèle de jeton d'actif natif. Dans ce modèle, tous les jetons se comportent comme des actifs natifs au sein du protocole, ne nécessitant pas d'autorisations de base de données pouvant être exploitées. Les utilisateurs doivent signer chaque transaction pour déplacer les jetons dont ils sont propriétaires, créant ainsi un autre niveau de sécurité.

Interestingly, users can now benefit as developers take a more careful look toward security concerns, phishing attacks, and token models. At one point, investors will inevitably need to choose whether they accept the old standards or migrate to the newer ones in the competitive and innovative free market that is crypto.

Il est intéressant de noter que les utilisateurs peuvent désormais en bénéficier car les développeurs examinent plus attentivement les problèmes de sécurité, les attaques de phishing et les modèles de jetons. À un moment donné, les investisseurs devront inévitablement choisir s’ils acceptent les anciennes normes ou migrent vers les plus récentes sur le marché libre compétitif et innovant qu’est la cryptographie.