Jetons ERC-20 : malgré les correctifs, toujours un terrain fertile pour les escroqueries cryptographiques

Les jetons ERC-20, largement utilisés dans l’industrie de la cryptographie, restent vulnérables au vol. Les mises à jour destinées à améliorer l’efficacité ont introduit de nouvelles failles exploitées par les acteurs malveillants. Malgré la gravité du problème, les escroqueries ciblant les jetons ERC-20 continuent de se multiplier, même les utilisateurs de cryptographie expérimentés en sont victimes. La nature immuable des contrats intelligents complique les efforts visant à corriger les défauts de conception de l’ERC-20, tandis que les tactiques d’ingénierie sociale restent un moteur majeur de ces attaques.

ERC-20 Tokens: A Breeding Ground for Crypto Scams, Despite Intended Fixes

Jetons ERC-20 : un terrain fertile pour les escroqueries cryptographiques, malgré les correctifs prévus

Introduction

Introduction

ERC-20 tokens, the ubiquitous token standard on the Ethereum network, have become a prime target for malicious actors, accounting for a staggering 89.5% of crypto losses due to phishing scams in March alone. This alarming statistic underscores the inherent vulnerabilities within the ERC-20 design, which have been inadvertently exacerbated by updates intended to enhance efficiency.

Les jetons ERC-20, la norme de jeton omniprésente sur le réseau Ethereum, sont devenus une cible privilégiée pour les acteurs malveillants, représentant 89,5 % des pertes cryptographiques dues aux escroqueries par phishing au cours du seul mois de mars. Cette statistique alarmante souligne les vulnérabilités inhérentes à la conception de l'ERC-20, qui ont été exacerbées par inadvertance par des mises à jour destinées à améliorer l'efficacité.

Historical Context and Design Flaws

Contexte historique et défauts de conception

Introduced in 2015, ERC-20 tokens have long suffered from gaping security holes. These flaws stem from fundamental design decisions made early on, according to Mikko Ohtamaa, co-founder of Trading Strategy. These design flaws are particularly problematic for Ethereum and Solana, while other chains have implemented fixes.

Introduits en 2015, les jetons ERC-20 souffrent depuis longtemps de failles de sécurité béantes. Ces défauts proviennent de décisions de conception fondamentales prises dès le début, selon Mikko Ohtamaa, co-fondateur de Trading Strategy. Ces défauts de conception sont particulièrement problématiques pour Ethereum et Solana, alors que d’autres chaînes ont mis en place des correctifs.

However, the immutable nature of smart contracts complicates efforts to rectify the shortcomings of ERC-20 tokens, further exacerbating the problem.

Cependant, la nature immuable des contrats intelligents complique les efforts visant à remédier aux défauts des jetons ERC-20, aggravant encore le problème.

Uniswap's Permit2: A Case Study in Unintended Consequences

Permit2 d'Uniswap : une étude de cas sur les conséquences imprévues

Uniswap's Permit2, launched in 2022, aimed to enhance transactions by allowing batch token approvals for DApps. This update aimed to reduce gas fees by eliminating the need for separate approvals for each transaction.

Le Permit2 d'Uniswap, lancé en 2022, visait à améliorer les transactions en autorisant l'approbation de jetons par lots pour les DApps. Cette mise à jour visait à réduire les frais de gaz en éliminant le besoin d'approbations distinctes pour chaque transaction.

However, as security researcher Roman Rakhlin demonstrated shortly after its release, illicit actors could obtain permit signatures through phishing schemes, facilitating the theft of tokens from unsuspecting victims. Despite his warnings, Uniswap has yet to respond to requests for comment.

Cependant, comme l'a démontré le chercheur en sécurité Roman Rakhlin peu après sa publication, des acteurs illicites pourraient obtenir des signatures de permis grâce à des stratagèmes de phishing, facilitant ainsi le vol de jetons à des victimes sans méfiance. Malgré ses avertissements, Uniswap n'a pas encore répondu aux demandes de commentaires.

ERC-20 and Cryptocurrency Scams

Escroqueries ERC-20 et crypto-monnaie

ERC-20 tokens, despite their shortcomings, revolutionized the creation and use of fungible tokens on Ethereum. However, their interactions with smart contracts differ significantly from Ether, the native currency, creating opportunities for malicious actors.

Les tokens ERC-20, malgré leurs défauts, ont révolutionné la création et l’utilisation de tokens fongibles sur Ethereum. Cependant, leurs interactions avec les contrats intelligents diffèrent considérablement de celles de l’Ether, la monnaie native, créant des opportunités pour les acteurs malveillants.

For instance, malicious entities can exploit the approval process required for ERC-20 token interactions with smart contracts, tricking users into signing fraudulent messages. Mikhail Vladimirov, an Ethereum developer and auditor, highlights this fundamental flaw in the standard's design.

Par exemple, des entités malveillantes peuvent exploiter le processus d'approbation requis pour les interactions des jetons ERC-20 avec les contrats intelligents, incitant les utilisateurs à signer des messages frauduleux. Mikhail Vladimirov, développeur et auditeur d'Ethereum, souligne ce défaut fondamental dans la conception de la norme.

Moreover, functions such as increaseAllowance and decreaseAllowance, introduced in 2017 to address theoretical attack vectors, have themselves become avenues for scams. Lev Menshikov, a security researcher at Oxorio, explains that attackers can manipulate the increasedAllowance function to trick users into increasing token allowances, enabling the theft of approved tokens.

De plus, des fonctions telles que raiseAllowance et diminutionAllowance, introduites en 2017 pour lutter contre les vecteurs d’attaque théoriques, sont elles-mêmes devenues des voies d’escroquerie. Lev Menchikov, chercheur en sécurité chez Oxorio, explique que les attaquants peuvent manipuler la fonction AugmentationAllowance pour inciter les utilisateurs à augmenter les allocations de jetons, permettant ainsi le vol de jetons approuvés.

The Immutable Curse: A Roadblock to Security

La malédiction immuable : un obstacle à la sécurité

Despite efforts to mitigate the risks associated with the increasedAllowance function, its removal from the ERC-20 contract and relocation to an extension highlight the limitations imposed by the immutability of smart contracts. Existing tokens cannot be modified, leaving them vulnerable to scams.

Malgré les efforts visant à atténuer les risques associés à l'augmentation de la fonction d'allocation, sa suppression du contrat ERC-20 et son déplacement vers une extension mettent en évidence les limites imposées par l'immuabilité des contrats intelligents. Les jetons existants ne peuvent pas être modifiés, ce qui les rend vulnérables aux escroqueries.

While upgradable proxies and intermediary contracts offer workarounds, they cannot eliminate the fundamental attack vector posed by the approve function.

Bien que les proxys évolutifs et les contrats intermédiaires offrent des solutions de contournement, ils ne peuvent pas éliminer le vecteur d'attaque fondamental posé par la fonction d'approbation.

Social Engineering: A Primary Facilitator

Ingénierie sociale : un facilitateur principal

Vladimirov argues that the proliferation of scams is primarily attributable to social engineering tactics that exploit human vulnerabilities rather than technological flaws. He emphasizes the need for wallets to adopt simpler, more user-friendly interfaces to reduce susceptibility to scams.

Vladimirov affirme que la prolifération des escroqueries est principalement imputable aux tactiques d’ingénierie sociale qui exploitent les vulnérabilités humaines plutôt que les failles technologiques. Il souligne la nécessité pour les portefeuilles d'adopter des interfaces plus simples et plus conviviales afin de réduire la vulnérabilité aux escroqueries.

Phishing Attacks: A Growing Threat

Attaques de phishing : une menace croissante

Phishing attacks have become increasingly sophisticated, targeting even experienced crypto users like Necksus, a crypto miner and intelligence analyst. Necksus fell victim to a phishing scheme that resulted in a significant loss of funds.

Les attaques de phishing sont devenues de plus en plus sophistiquées, ciblant même les utilisateurs de crypto expérimentés comme Necksus, mineur de crypto et analyste du renseignement. Necksus a été victime d'un stratagème de phishing qui a entraîné une perte de fonds importante.

Even users who employ additional precautionary measures, such as transaction simulators, are not immune to these attacks. Oxorio's Menshikov warns of emerging trends in phishing, such as attacks targeting ENS domain owners.

Même les utilisateurs qui emploient des mesures de précaution supplémentaires, telles que des simulateurs de transactions, ne sont pas à l'abri de ces attaques. Menchikov d'Oxorio met en garde contre les tendances émergentes en matière de phishing, telles que les attaques ciblant les propriétaires de domaines ENS.

Solutions: The Elusive Panacea

Solutions : la panacée insaisissable

Vladimirov believes that on-chain solutions are inadequate to combat phishing attacks, emphasizing the role of social engineering as a longstanding problem that predates cryptocurrency. He advocates for the development of security tools that can alert users to known attack vectors.

Vladimirov estime que les solutions en chaîne sont inadéquates pour lutter contre les attaques de phishing, soulignant le rôle de l'ingénierie sociale en tant que problème de longue date antérieur à la crypto-monnaie. Il plaide pour le développement d'outils de sécurité capables d'alerter les utilisateurs sur les vecteurs d'attaque connus.

Larry the Cucumber, co-founder of Pickle Finance, recommends using security tools like WalletGuard and Pocket Universe to detect malicious URLs and protect against wallet drainers.

Larry the Cucumber, co-fondateur de Pickle Finance, recommande d'utiliser des outils de sécurité tels que WalletGuard et Pocket Universe pour détecter les URL malveillantes et se protéger contre les draineurs de portefeuille.

Pcaversaccio, an independent security researcher, urges extreme caution, advising users to be suspicious of all communications and to carefully scrutinize every transaction they sign.

Pcaversaccio, un chercheur indépendant en sécurité, appelle à une extrême prudence, conseillant aux utilisateurs de se méfier de toutes les communications et d'examiner attentivement chaque transaction qu'ils signent.

A Cynical Perspective

Une perspective cynique

Ohtamaa offers a somewhat cynical view, suggesting that addressing the issue would be less profitable than offering remedies after the fact. He cites the adage, "It is always more profitable to sell aspirin than to cure the patient."

Ohtamaa présente un point de vue quelque peu cynique, suggérant qu’il serait moins rentable de résoudre le problème que de proposer des solutions après coup. Il cite l'adage : « Il est toujours plus rentable de vendre de l'aspirine que de guérir le patient ».

Conclusion

Conclusion

ERC-20 tokens, despite their ubiquitous presence, remain vulnerable to scams due to inherent design flaws and the immutability of smart contracts. While efforts have been made to address these vulnerabilities, the proliferation of social engineering tactics has made phishing attacks an ever-present threat. The onus falls on the security community to develop tools and educate users to mitigate these risks. Until then, the crypto landscape will continue to be plagued by scams that exploit the weaknesses of the ERC-20 standard.

Les jetons ERC-20, malgré leur présence omniprésente, restent vulnérables aux escroqueries en raison de défauts de conception inhérents et de l'immuabilité des contrats intelligents. Même si des efforts ont été déployés pour remédier à ces vulnérabilités, la prolifération des tactiques d’ingénierie sociale a fait des attaques de phishing une menace omniprésente. Il incombe à la communauté de la sécurité de développer des outils et d’éduquer les utilisateurs pour atténuer ces risques. D’ici là, le paysage cryptographique continuera d’être en proie à des escroqueries exploitant les faiblesses de la norme ERC-20.