Ice Phishing expliqué : fuites d'approbation cachées

Le grand livre trompeur : passer du vol d'informations d'identification au détournement d'autorisations

• Au début de la sécurité Web3, la protection des actifs numériques était une bataille relativement simple centrée sur la protection des informations d'identification. Si un investisseur mémorisait sa phrase de départ de 12 mots, stockait ses clés privées entièrement hors ligne et évitait les téléchargements de logiciels malveillants, son capital en chaîne était généralement considéré comme sécurisé. 

• Les attaques de phishing traditionnelles reposaient largement sur la tromperie par force brute : incitant les utilisateurs à saisir leurs phrases de récupération principales directement dans de faux formulaires Web.

• Aujourd'hui, le paysage des menaces a connu une évolution structurelle spectaculaire. Les cybercriminels Web3 avancés ne gaspillent plus d'énergie à essayer de voler vos clés privées ou vos phrases de départ. Au lieu de cela, ils déploient une technique très sophistiquée connue sous le nom de Phishing sur glace. 
• Plutôt que de pénétrer dans votre portefeuille, l'ice phishing vous incite à ouvrir poliment la porte et à céder le contrôle opérationnel total de vos actifs. En manipulant les interfaces utilisateur des contrats intelligents, en exploitant les signatures hors chaîne et en exploitant les vulnérabilités de signature aveugle, ces approbations cachées siphonnent des millions de comptes en auto-garde tout en laissant les clés privées totalement intactes.

Qu'est-ce que le Ice Phishing ?

• Le phishing sur glace est un exploit cryptographique dans lequel un attaquant manipule un utilisateur pour qu'il signe une transaction de contrat intelligent malveillante ou une allocation de jeton. Cette autorisation modifie l'état d'approbation du jeton sur la chaîne, accordant à l'attaquant l'autorisation complète et légale de dépenser les actifs de la victime.

• Contrairement à une transaction classique qui déplace instantanément des fonds d'un point A à un point B, l'ice phishing est une menace asynchrone. Au moment où un utilisateur signe une approbation malveillante, rien ne semble se produire. Aucun jeton ne quitte le portefeuille immédiatement. Au lieu de cela, l'attaquant attend que la signature soit réglée, puis invoque ultérieurement les fonctions de transfert internes du contrat de jeton pour vider proprement le compte.

1. La mécanique du piège en chaîne : approve et setApprovalForAll

• Pour interagir avec des applications décentralisées, des teneurs de marché automatisés et des marchés NFT, les utilisateurs Web3 doivent interagir avec des cadres d'allocation de jetons. Étant donné que les contrats intelligents ne peuvent pas automatiquement lire ou déplacer les jetons dans votre portefeuille sans autorisation, vous devez d'abord accorder au contrat une allocation de dépenses spécifique.

Les campagnes de phishing Ice exploitent ce choix de conception en déployant des applications décentralisées (dApps) frauduleuses qui modifient les paramètres des interactions de routine des jetons :

• Allocations de jetons ERC-20 (approve) : Lorsque vous pensez configurer un échange de jetons de routine, la dApp malveillante modifie la charge utile des données d'appel de transaction sous-jacentes. Au lieu d'appeler une fonction d'échange, il appelle la fonction d'allocation native du jeton, accordant à l'adresse contractuelle de l'attaquant un plafond de dépenses de plusieurs milliards de jetons.

• Balayages de l'écosystème NFT (setApprovalForAll) : Pour les tokens non fongibles, la menace est encore plus absolue. Signature d'une transaction contenant un message malveillant setApprovalForAll accorde à l'attaquant le plein pouvoir administratif sur l'ensemble de votre collection de jetons dans le cadre de ce contrat spécifique. Le pirate informatique peut ensuite retirer de votre compte tous les objets de collection numériques de grande valeur en une seule exécution en bloc.

2. La signature invisible : EIP-2612 autorise le phishing

• Alors que les fournisseurs de portefeuilles ont mis en place de meilleures bannières d'avertissement pour signaler les approbations suspectes en chaîne, les services de drainage se sont tournés vers la manipulation du cadre de signature hors chaîne, ciblant spécifiquement Permis EIP-2612 Modules .

• La norme EIP-2612 a été introduite pour créer une expérience utilisateur plus efficace en autorisant les approbations de jetons sans gaz. Au lieu de soumettre un live, coûteux blockchain transaction pour ajuster une allocation, l'utilisateur signe un message structuré et hors chaîne dans son portefeuille client. Cette chaîne de signature cryptographique brute est ensuite transmise à un tiers qui paie les frais de gaz du réseau pour exécuter la transaction en chaîne.

• Dans un scénario de phishing sur glace, cette fonctionnalité se transforme en une vulnérabilité silencieuse. Les attaquants créent de superbes applications Web clonées qui invitent les utilisateurs à signer un simple message texte sans gaz pour « vérifier la propriété du portefeuille » ou « réclamer une récompense de la communauté ». Derrière l'interface utilisateur frontale, la charge utile est en fait une chaîne de validation de permis EIP-2612. Au moment où l'utilisateur clique sur signer, le draineur capture la charge utile brute de la signature, la diffuse dans le grand livre public de la blockchain pour sécuriser l'allocation et supprime le compte de ses jetons.

3. L'angle mort de la signature aveugle : exploiter les portefeuilles matériels

• La ligne de défense ultime pour un participant Web3 est un portefeuille matériel. Cependant, même la puce de sécurité physique la plus sécurisée ne peut pas sauver un investisseur d'un exploit de phishing sur glace s'il est victime d'un exploit. Signature aveugle.

• La signature aveugle se produit lorsqu'un périphérique matériel est obligé d'autoriser une transaction de contrat intelligent ou une charge utile de message complexe qu'il ne peut pas analyser ou afficher de manière native sur son petit écran physique. Au lieu d'afficher des instructions en texte clair comme "Accorder des droits de transfert au contrat X", le portefeuille matériel affiche un message d'avertissement générique à côté d'une longue chaîne illisible de données hexadécimales brutes.

• Lorsque les utilisateurs rencontrent ces champs de données illisibles lors d'événements de marché à haute pression, ils cliquent fréquemment par habitude sur les invites d'avertissement de leurs boutons matériels physiques. En signant à l'aveugle la chaîne de données non vérifiée, l'utilisateur valide de manière cryptographique la charge utile malveillante du phishing sur glace, créant ainsi une approbation en chaîne irréversible et sans appel qui permet au script draineur de contourner entièrement le modèle de sécurité de l'appareil physique.

Matrice de conception technique : signatures de vecteurs de drainage d'approbation

4. Comment reconnaître et protéger votre capital en chaîne

Défendre votre portefeuille contre les attaques sophistiquées de phishing sur glace et autres « phishings » nécessite un engagement sans compromis envers des protocoles de sécurité opérationnels stricts.

• Données de simulation de transaction d'audit : Les portefeuilles Web3 modernes et sécurisés intègrent des modules avancés de simulation de transactions. Avant d’autoriser une invite de transaction, examinez attentivement l’écran de sortie de simulation. Si un site Web prétendant remplir une fonction de base génère un avertissement de simulation indiquant que votre portefeuille modifie une allocation, ou s'il demande une action contenant des termes tels que approve ou Permit, rejetez immédiatement la connexion.

• Never Blind Sign Charges utiles inconnues : Traitez les invites de signature aveugle sur vos portefeuilles matériels comme des événements de sécurité à haut risque. Si l'écran de votre appareil physique ne peut pas afficher des textes clairs et lisibles expliquant exactement où vos jetons se déplacent et pourquoi, n'appuyez pas sur les boutons de confirmation. Mettez à jour le micrologiciel de votre appareil ou utilisez d'autres routes d'interface dApp vérifiées pour garantir une visibilité claire des données.

• Appliquer les audits d'autorisation de routine : Les allocations de jetons sont persistantes ; une fois accordés, ils restent actifs pour toujours sur la blockchain jusqu’à ce qu’ils soient explicitement modifiés. Utilisez des applications indépendantes d'audit des allocations telles que Revoke.cash ou des portails de sécurité de portefeuille natifs pour effacer périodiquement les approbations historiques, garantissant ainsi que les anciennes plates-formes compromises ne peuvent pas servir de porte dérobée à vos soldes actuels.

Suivi des entrées de capitaux via la télémétrie médico-légale DEXTools