Jetons ERC-20 : un terrain fertile pour le vol de crypto-monnaie

Les jetons ERC-20 sont généralement volés dans le cadre d'escroqueries cryptographiques, les attaques de phishing représentant une part importante des pertes. Le mécanisme d'approbation de la norme de jeton, conçu pour rationaliser les transactions, a sans le savoir facilité le vol, des acteurs malveillants exploitant des fonctionnalités telles que « autoriser » et « augmenter l'allocation ». Malgré les tentatives visant à remédier à ces vulnérabilités, la nature immuable des contrats intelligents rend difficile la correction des failles de l'ERC-20. De plus, les escroqueries par phishing sont répandues dans l’écosystème Ethereum, même les utilisateurs de cryptomonnaies expérimentés étant victimes de tactiques d’ingénierie sociale. Les experts en sécurité soulignent la nécessité de faire preuve de prudence et de sensibilisation pour atténuer les risques de phishing.

ERC-20 Tokens: A Breeding Ground for Crypto Theft

Jetons ERC-20 : un terrain fertile pour le vol de cryptomonnaies

Within the ever-evolving realm of cryptocurrencies, ERC-20 tokens have emerged as a ubiquitous standard, accounting for a staggering 89.5% of the $71.5 million worth of crypto assets pilfered through phishing scams in March alone, according to the reputable firm Rip-off Sniffer. This alarming statistic highlights a fundamental flaw within the design of ERC-20 tokens, leaving them vulnerable to exploitation.

Dans le domaine en constante évolution des crypto-monnaies, les jetons ERC-20 sont devenus une norme omniprésente, représentant 89,5 % des 71,5 millions de dollars d'actifs cryptographiques volés par des escroqueries par phishing rien qu'en mars, selon la société réputée Rip-off. Renifleur. Cette statistique alarmante met en évidence un défaut fondamental dans la conception des jetons ERC-20, les rendant vulnérables à l'exploitation.

At the heart of the problem lie features such as "allow" and "increaseAllowance," intended to enhance the efficiency of the token standard. However, these very mechanisms have inadvertently introduced new vulnerabilities, creating a breeding ground for sophisticated theft schemes.

Au cœur du problème se trouvent des fonctionnalités telles que « allow » et « increaseAllowance », destinées à améliorer l'efficacité de la norme de jeton. Cependant, ces mêmes mécanismes ont introduit par inadvertance de nouvelles vulnérabilités, créant ainsi un terrain fertile pour des stratagèmes de vol sophistiqués.

Origins of the Flaw: An Inherent Design Flaw

Origines du défaut : un défaut de conception inhérent

First introduced in 2015, ERC-20 tokens possess inherent security loopholes that have allowed malicious actors to exploit unsuspecting victims, often through phishing attacks. Mikko Ohtamaa, co-founder of the algorithmic trading protocol Trading Strategy, attributes these vulnerabilities to poor design choices embedded within Ethereum and, to a lesser extent, Solana.

Introduits pour la première fois en 2015, les jetons ERC-20 possèdent des failles de sécurité inhérentes qui ont permis à des acteurs malveillants d'exploiter des victimes sans méfiance, souvent par le biais d'attaques de phishing. Mikko Ohtamaa, co-fondateur du protocole de trading algorithmique Trading Strategy, attribue ces vulnérabilités à de mauvais choix de conception intégrés à Ethereum et, dans une moindre mesure, à Solana.

"The immutability of smart contracts complicates efforts to rectify ERC-20's flaws," explains Ohtamaa. This characteristic, while crucial for maintaining the integrity of blockchain technology, presents a significant obstacle to patching vulnerabilities in existing contracts.

"L'immuabilité des contrats intelligents complique les efforts visant à corriger les défauts de l'ERC-20", explique Ohtamaa. Cette caractéristique, bien que cruciale pour maintenir l’intégrité de la technologie blockchain, constitue un obstacle important à la correction des vulnérabilités des contrats existants.

Phishing Attacks: Leveraging Uniswap's Permit2

Attaques de phishing : tirer parti du permis 2 d'Uniswap

Phishing scams have become a primary mode of attack for crypto thieves, with Ethereum serving as a prime target. Uniswap, a prominent decentralized exchange, sought to address the inconvenience of separate approvals for each transaction by introducing Permit2, a smart contract released in 2022.

Les escroqueries par phishing sont devenues le principal mode d’attaque des voleurs de cryptomonnaies, Ethereum étant une cible privilégiée. Uniswap, une bourse décentralisée de premier plan, a cherché à résoudre les inconvénients des approbations séparées pour chaque transaction en introduisant Permit2, un contrat intelligent publié en 2022.

Permit2 aimed to streamline the process by allowing users to grant batch token approvals to decentralized applications (DApps), thereby eliminating the need for multiple on-chain approvals and reducing gas fees. However, this seemingly innocuous solution opened up a new avenue for illicit actors to obtain "allow" signatures through phishing schemes, ultimately siphoning tokens from unsuspecting victims.

Permit2 visait à rationaliser le processus en permettant aux utilisateurs d'accorder des approbations de jetons par lots aux applications décentralisées (DApps), éliminant ainsi le besoin de plusieurs approbations en chaîne et réduisant les frais de gaz. Cependant, cette solution apparemment anodine a ouvert une nouvelle voie permettant aux acteurs illicites d'obtenir des signatures « d'autorisation » via des stratagèmes de phishing, siphonnant finalement les jetons des victimes sans méfiance.

Limitations of the "Approve" Mechanism

Limites du mécanisme « Approuver »

The core functionalities of the ERC-20 standard, including the "approve" mechanism, have been instrumental in catalyzing the rise of decentralized finance (DeFi). However, this mechanism has also become a target for malicious entities to deceive users into signing fraudulent messages, exploiting the discrepancy between Ethereum's native currency, Ether, and ERC-20 tokens in their interaction with smart contracts.

Les fonctionnalités de base de la norme ERC-20, y compris le mécanisme « d'approbation », ont joué un rôle déterminant dans l'essor de la finance décentralisée (DeFi). Cependant, ce mécanisme est également devenu une cible pour des entités malveillantes souhaitant inciter les utilisateurs à signer des messages frauduleux, en exploitant l'écart entre la monnaie native d'Ethereum, l'Ether, et les jetons ERC-20 dans leur interaction avec les contrats intelligents.

While sending Ether to a smart contract is straightforward, ERC-20 tokens require explicit approvals when interacting with different smart contracts. This approval process becomes a prime target for malicious actors seeking to trick victims into granting unintended access to their funds.

Bien que l'envoi d'Ether vers un contrat intelligent soit simple, les jetons ERC-20 nécessitent des approbations explicites lors de l'interaction avec différents contrats intelligents. Ce processus d'approbation devient une cible privilégiée pour les acteurs malveillants cherchant à inciter les victimes à accorder un accès involontaire à leurs fonds.

The Immutable Curse: A Dilemma for Developers

La malédiction immuable : un dilemme pour les développeurs

The immutable nature of smart contracts poses a significant challenge for developers seeking to address the vulnerabilities in ERC-20 tokens. Changes to existing tokens in circulation are virtually impossible, leaving them perpetually susceptible to exploitation.

La nature immuable des contrats intelligents pose un défi important aux développeurs cherchant à remédier aux vulnérabilités des jetons ERC-20. Les modifications des jetons existants en circulation sont pratiquement impossibles, les laissant perpétuellement susceptibles d'être exploités.

However, some projects have attempted to circumvent this limitation by employing upgradable proxies or middleman contracts. These solutions provide a degree of flexibility, allowing developers to modify or eliminate non-core functionalities, such as "increaseAllowance" and "allow." Uniswap's Permit2, for example, extended the "allow" functionality to ERC-20 tokens that lacked it natively.

Cependant, certains projets ont tenté de contourner cette limitation en utilisant des proxys évolutifs ou des contrats intermédiaires. Ces solutions offrent un certain degré de flexibilité, permettant aux développeurs de modifier ou d'éliminer des fonctionnalités non essentielles, telles que « augmenter l'allocation » et « autoriser ». Le Permit2 d'Uniswap, par exemple, a étendu la fonctionnalité « autoriser » aux jetons ERC-20 qui en manquaient nativement.

The Social Engineering Factor

Le facteur d’ingénierie sociale

Despite the technical flaws in ERC-20 token design, social engineering techniques play a significant role in the success of phishing scams. These tactics manipulate human behavior, exploiting psychological vulnerabilities to trick victims into compromising their security.

Malgré les défauts techniques de la conception des jetons ERC-20, les techniques d'ingénierie sociale jouent un rôle important dans le succès des escroqueries par phishing. Ces tactiques manipulent le comportement humain, exploitant les vulnérabilités psychologiques pour inciter les victimes à compromettre leur sécurité.

Mikhail Vladimirov, an Ethereum developer and smart contract auditor, emphasizes the importance of user education and simplified wallet interfaces to mitigate the risks associated with phishing attacks. He argues that overly technical jargon and complex codes often confuse users, making them more susceptible to scams.

Mikhail Vladimirov, développeur Ethereum et auditeur de contrats intelligents, souligne l'importance de l'éducation des utilisateurs et des interfaces de portefeuille simplifiées pour atténuer les risques associés aux attaques de phishing. Il fait valoir que le jargon trop technique et les codes complexes confondent souvent les utilisateurs, les rendant plus vulnérables aux escroqueries.

Are Phishing Scams a Priority?

Les escroqueries par phishing sont-elles une priorité ?

The security community has been criticized for not prioritizing phishing scams, primarily attributed to their impact on less experienced users or flaws in front-end interfaces. Some researchers dismiss them as a "silly user problem" or a responsibility of wallet and front-end developers.

La communauté de la sécurité a été critiquée pour ne pas donner la priorité aux escroqueries par phishing, principalement attribuées à leur impact sur les utilisateurs moins expérimentés ou aux failles des interfaces frontales. Certains chercheurs les rejettent comme un « problème d'utilisateur stupide » ou comme une responsabilité des développeurs de portefeuilles et de front-end.

However, the prevalence of phishing attacks has expanded beyond novice users, and even experienced crypto enthusiasts have fallen victim to sophisticated social engineering schemes. Necksus, a crypto miner and collaborator with the forensics platform Intelligence On Chain, lost approximately $20,000 to a phishing scam after being deceived by a compromised NFT artist's account.

Cependant, la prévalence des attaques de phishing s’est étendue au-delà des utilisateurs novices, et même les passionnés de cryptographie expérimentés ont été victimes de programmes sophistiqués d’ingénierie sociale. Necksus, un mineur de crypto et collaborateur de la plateforme médico-légale Intelligence On Chain, a perdu environ 20 000 $ à cause d'une escroquerie par phishing après avoir été trompé par le compte d'un artiste NFT compromis.

Emerging Trends in Phishing Attacks

Tendances émergentes dans les attaques de phishing

Phishing scams are constantly evolving, with attackers employing increasingly creative techniques. Lev Menshikov of Oxorio, an auditing agency, highlights the rising popularity of attacks targeting ENS (Ethereum Name Service) domain owners. In this scheme, attackers send fraudulent email alerts to ENS domain owners, luring them to a bogus renewal website where their funds are extorted.

Les escroqueries par phishing évoluent constamment, les attaquants employant des techniques de plus en plus créatives. Lev Menchikov d'Oxorio, une agence d'audit, souligne la popularité croissante des attaques ciblant les propriétaires de domaines ENS (Ethereum Name Service). Dans ce système, les attaquants envoient des alertes frauduleuses par courrier électronique aux propriétaires de domaines ENS, les attirant vers un faux site Web de renouvellement où leurs fonds sont extorqués.

Mitigating Risks and Protecting Assets

Atténuer les risques et protéger les actifs

While the immutability of smart contracts and the vast array of tokens make it challenging to prevent attacks on a purely on-chain level, a combination of security tools and user vigilance can significantly reduce the risk of falling victim to phishing scams.

Même si l’immuabilité des contrats intelligents et la vaste gamme de jetons rendent difficile la prévention des attaques au niveau purement de la chaîne, une combinaison d’outils de sécurité et la vigilance des utilisateurs peuvent réduire considérablement le risque d’être victime d’escroqueries par phishing.

WalletGuard and Pocket Universe are examples of security tools that allow users to scan URLs for potential risks and identify potential wallet drainers. By exercising caution and maintaining a heightened awareness of phishing attempts, crypto users can protect their digital assets from malicious actors.

WalletGuard et Pocket Universe sont des exemples d'outils de sécurité qui permettent aux utilisateurs d'analyser les URL à la recherche de risques potentiels et d'identifier les draineurs potentiels de portefeuille. En faisant preuve de prudence et en restant vigilants face aux tentatives de phishing, les utilisateurs de crypto peuvent protéger leurs actifs numériques contre les acteurs malveillants.

A Cynical View: Profiting from Unresolved Issues

Une vision cynique : profiter des problèmes non résolus

Some experts, like Ohtamaa, believe that there is a lack of incentive to resolve the phishing problem in the cryptocurrency industry. "It's always more profitable to sell aspirin than to cure the patient," he says, implying that the financial rewards of exploiting vulnerabilities outweigh the efforts required to fix them.

Certains experts, comme Ohtamaa, estiment qu’il n’y a pas suffisamment d’incitations à résoudre le problème du phishing dans le secteur des cryptomonnaies. "Il est toujours plus rentable de vendre de l'aspirine que de guérir le patient", dit-il, laissant entendre que les récompenses financières liées à l'exploitation des vulnérabilités dépassent les efforts nécessaires pour y remédier.

As the cryptocurrency ecosystem continues to evolve, it remains essential for developers, security researchers, and users to work together to address the ongoing threat of phishing scams. By understanding the vulnerabilities inherent in ERC-20 tokens and adopting proactive measures, crypto users can safeguard their digital assets and contribute to a more secure future for the crypto community.

Alors que l’écosystème des cryptomonnaies continue d’évoluer, il reste essentiel que les développeurs, les chercheurs en sécurité et les utilisateurs travaillent ensemble pour faire face à la menace persistante des escroqueries par phishing. En comprenant les vulnérabilités inhérentes aux jetons ERC-20 et en adoptant des mesures proactives, les utilisateurs de crypto peuvent protéger leurs actifs numériques et contribuer à un avenir plus sûr pour la communauté crypto.