Une escroquerie par phishing blanchit 10 millions de dollars via l'attaque « Tornado Cash » contre une faille de sécurité de la cryptomonnaie

CertiK, une société de sécurité blockchain, a signalé qu'un compte impliqué dans une escroquerie par phishing de 24 millions de dollars en septembre 2023 avait récemment transféré 10 millions de dollars d'Ether vers le protocole de mixage cryptographique, Tornado Cash. La victime a perdu une quantité importante d'Ether mis en jeu via le fournisseur de jalonnement liquide Rocket Pool après avoir approuvé une transaction « Augmenter l'allocation », permettant aux attaquants d'accéder à leurs jetons. La conversation autour des allocations de jetons a été importante au sein de la communauté des crypto-monnaies, avec des inquiétudes concernant le potentiel d'utilisation abusive.

Cryptocurrency Security Breach: Phishing Scam Launders $10 Million Through Tornado Cash

Violation de la sécurité des cryptomonnaies : une escroquerie par hameçonnage blanchit 10 millions de dollars grâce à Tornado Cash

On March 21, CertiK, a prominent blockchain security firm, raised an alarm in the cryptocurrency community, reporting the transfer of $10 million worth of Ether (ETH) from an account implicated in a major phishing scam in September 2023. The funds were laundered through Tornado Cash, a crypto-mixing protocol designed to obfuscate the trail of illicit transactions.

Le 21 mars, CertiK, une importante société de sécurité blockchain, a sonné l'alarme au sein de la communauté des cryptomonnaies, signalant le transfert de 10 millions de dollars d'Ether (ETH) depuis un compte impliqué dans une escroquerie majeure par phishing en septembre 2023. Les fonds ont été blanchis via Tornado Cash, un protocole de crypto-mixage conçu pour obscurcir la trace des transactions illicites.

This incident is a chilling reminder of the persistent threat posed by phishing scams, which have become increasingly sophisticated and targeted in the cryptocurrency space. The account in question was part of a larger hack that stole a staggering $24 million from a prominent cryptocurrency investor known as a "crypto whale" on September 6, 2023.

Cet incident est un rappel effrayant de la menace persistante que représentent les escroqueries par phishing, qui sont devenues de plus en plus sophistiquées et ciblées dans le domaine des cryptomonnaies. Le compte en question faisait partie d'un piratage plus vaste qui a volé la somme colossale de 24 millions de dollars à un investisseur de premier plan en cryptomonnaie connu sous le nom de « crypto-baleine » le 6 septembre 2023.

The victim of this phishing attack lost a substantial amount of staked Ether (ETH) through the liquid staking provider Rocket Pool. Through a series of cunning transactions, the attackers managed to siphon funds in two separate transfers, extracting a total of 9,579 stETH and 4,851 rETH.

La victime de cette attaque de phishing a perdu une quantité importante d’Ether (ETH) via le fournisseur de jalonnement liquide Rocket Pool. Grâce à une série de transactions astucieuses, les attaquants ont réussi à siphonner des fonds en deux transferts distincts, extrayant un total de 9 579 stETH et 4 851 rETH.

According to Scam Sniffer, an anti-scam initiative that has been closely tracking this incident, the breach occurred when the victim inadvertently approved an "Increase Allowance" transaction. This action granted the hackers permission to access the victim's ERC-20 tokens via a token allowance mechanism—a feature that enables third parties to spend tokens on behalf of the token holder.

Selon Scam Sniffer, une initiative anti-arnaque qui a suivi de près cet incident, la violation s'est produite lorsque la victime a approuvé par inadvertance une transaction « d'augmentation de l'allocation ». Cette action a permis aux pirates informatiques d'accéder aux jetons ERC-20 de la victime via un mécanisme d'allocation de jetons, une fonctionnalité qui permet à des tiers de dépenser des jetons au nom du détenteur du jeton.

The conversation around token allowances has been gaining traction within the cryptocurrency community, with many voicing concerns over the potential for misuse through the deployment of malicious smart contracts. These concerns have been further validated by recent events, including the Dolomite exchange exploit on March 20, which resulted in the theft of $1.8 million from unsuspecting users due to an outdated contract.

La conversation autour des allocations de jetons gagne du terrain au sein de la communauté des crypto-monnaies, de nombreuses personnes exprimant leurs inquiétudes quant au potentiel d'utilisation abusive lié au déploiement de contrats intelligents malveillants. Ces préoccupations ont été confirmées par des événements récents, notamment l'exploit d'échange Dolomite du 20 mars, qui a entraîné le vol de 1,8 million de dollars auprès d'utilisateurs sans méfiance en raison d'un contrat obsolète.

In the wake of the latest phishing scam, PeckShield, another blockchain security firm, conducted a thorough investigation and uncovered a complex network of transactions. The fraudsters converted their illicit gains into 13,785 ETH and 1.64 million Dai, dispersing a portion of these funds through the FixedFload exchange and other digital wallets.

À la suite de la dernière escroquerie par phishing, PeckShield, une autre société de sécurité blockchain, a mené une enquête approfondie et découvert un réseau complexe de transactions. Les fraudeurs ont converti leurs gains illicites en 13 785 ETH et 1,64 million de Dai, dispersant une partie de ces fonds via l'échange FixedFload et d'autres portefeuilles numériques.

This incident underscores the persistent risk of phishing scams in the cryptocurrency domain, which continue to result in significant financial losses. A recent report by Scam Sniffer highlighted that nearly $47 million was stolen through crypto phishing in February alone, with the majority of these incidents occurring on the Ethereum network and primarily involving ERC-20 tokens.

Cet incident souligne le risque persistant d’escroqueries par phishing dans le domaine des cryptomonnaies, qui continuent d’entraîner des pertes financières importantes. Un récent rapport de Scam Sniffer a souligné que près de 47 millions de dollars ont été volés par crypto-phishing rien qu'en février, la majorité de ces incidents se produisant sur le réseau Ethereum et impliquant principalement des jetons ERC-20.

Despite the ongoing efforts of security firms like CertiK and PeckShield to safeguard the cryptocurrency ecosystem, malicious actors continue to find ways to exploit vulnerabilities and compromise user funds. These incidents serve as a stark reminder of the importance of practicing vigilance and employing robust security measures to protect digital assets.

Malgré les efforts continus des sociétés de sécurité comme CertiK et PeckShield pour protéger l’écosystème des cryptomonnaies, les acteurs malveillants continuent de trouver des moyens d’exploiter les vulnérabilités et de compromettre les fonds des utilisateurs. Ces incidents nous rappellent brutalement l’importance de faire preuve de vigilance et d’employer des mesures de sécurité robustes pour protéger les actifs numériques.

Token approvals, in particular, have emerged as a significant vulnerability that needs to be addressed. As the cryptocurrency community continues to evolve, it is imperative to develop and implement robust mechanisms to prevent the unauthorized use of token allowances and mitigate the risk of phishing scams.

Les approbations de jetons, en particulier, sont apparues comme une vulnérabilité importante qui doit être corrigée. À mesure que la communauté des cryptomonnaies continue d’évoluer, il est impératif de développer et de mettre en œuvre des mécanismes robustes pour empêcher l’utilisation non autorisée des quotas de jetons et atténuer le risque d’escroquerie par phishing.

While the cryptocurrency industry has witnessed its share of successful security interventions, the ongoing challenges and risks associated with digital asset security should not be underestimated. Vigilance, education, and collaboration among security experts, cryptocurrency exchanges, and users are essential to combat phishing scams and protect the integrity of the cryptocurrency ecosystem.

Même si le secteur des cryptomonnaies a connu son lot d’interventions de sécurité réussies, les défis et les risques actuels associés à la sécurité des actifs numériques ne doivent pas être sous-estimés. La vigilance, l'éducation et la collaboration entre les experts en sécurité, les échanges de cryptomonnaies et les utilisateurs sont essentielles pour lutter contre les escroqueries par phishing et protéger l'intégrité de l'écosystème des cryptomonnaies.