- Les bennes NFT comme Inferno et Venom sont couramment utilisées pour mener des attaques de phishing avec des serveurs Discord et des comptes Twitter compromis.
- Ces drains ont été utilisés pour voler 73 millions de dollars à plus de 32 000 portefeuilles, laissant dans leur sillage 900 serveurs Discord compromis.
- Nous plongeons dans le monde souterrain obscur qui se cache derrière cette activité et analysons qui mène ces attaques..
Il est parfois bon de se méfier des journalistes.
C'est le cas d'Orbiter Finance. Le mois dernier, un soi-disant journaliste prétendant appartenir à un site de crypto-news a contacté l'un de leurs modérateurs Discord et lui a demandé de remplir un formulaire. Le modérateur n'a pas réalisé que ce simple acte lui remettrait le contrôle de son serveur Discord.
Une fois à l'intérieur, l'auteur a gelé le contrôle des autres administrateurs sur le serveur et a restreint la capacité des membres de la communauté à publier des messages. Ils ont posté une annonce pour un faux largage, envoyant tout le monde sur un site web de phishing conçu pour voler leurs NFT. Et ça a marché. Au total, ils ont volé un million de dollars en NFT et en jetons en un clin d'œil, tandis que l'équipe ne pouvait que regarder.
“Nous étions très inquiets”, explique Gwen, responsable du développement commercial chez Orbiter Finance, qui a raconté ce qui s'est passé lors d'une interview. “Si nous causons du tort (aux membres de notre communauté), nous finirons par perdre leur confiance”.
L'attaque contre Orbiter n'est qu'un exemple récent d'une longue chaîne de… exploits impliquant draineurs ou draineurs NFT et des serveurs Discord ou des comptes Twitter compromis. Les données recueillies par l'analyste de la NFT et expert en sécurité connu sous le nom de OKHotshot montrent qu'au moins 900 serveurs Discord ont été compromis depuis décembre 2021 pour mener des attaques de phishing – avec une tendance à la hausse notable au cours des trois derniers mois.
Ces attaques ont affecté au moins 32 000 portefeuilles de victimes au cours des neuf derniers mois, selon les données compilées par . PeckShield et plusieurs tableaux de bord dans Dune Analytics. Au total, les attaquants ont volé des NFT et des jetons d'une valeur combinée de 73 millions de dollars.
Les visages derrière les attaques
Ces complots impliquent souvent des transactions sur le marché noir émergent des codes de drainage.
Les orchestrateurs de hameçonnage se tournent d'abord vers Telegram et Discord, où ils peuvent trouver des canaux gérés par des développeurs pour de nombreux types de draineurs différents. Ils contactent le développeur et achètent le draineur, qui prend la forme d'un ensemble de codes pouvant être intégrés dans des sites web, et s'engagent généralement à remettre 20 à 30 % des bénéfices au développeur. Ils utilisent ensuite leurs propres méthodes – dont l'exemple du site de fausses nouvelles décrit ci-dessus – pour compromettre un serveur Discord ou un compte Twitter et faire la publicité d'un faux site Web contenant le code du draineur NFT afin de voler des NFT et tout ce qui leur tombe sous la main.
C'est-à-dire quand ils ne sont pas occupés par leurs devoirs.
“Quatre-vingt-quinze pour cent d'entre eux sont des jeunes de moins de 18 ans et encore au lycée”, explique un chercheur en sécurité sous pseudonyme connu sous le nom de Plum, qui travaille dans l'équipe de sécurité trust and marketplace de NFT OpenSea, ajoutant que c'est la raison pour laquelle le nombre d'attaques a tendance à augmenter pendant les vacances d'été.
“J'ai personnellement parlé à pas mal d'entre eux et je sais qu'ils sont encore à l'école”, a déclaré Plum. “J'ai vu des photos et des vidéos de plusieurs d'entre eux dans leur école. Ils parlent de leurs professeurs, du fait qu'ils échouent en cours ou qu'ils doivent faire leurs devoirs.”
Ces jeunes semblent faire peu d'efforts pour cacher leur nouvelle richesse.
“Ils achètent un ordinateur portable, quelques téléphones, des chaussures et dépensent de grosses sommes d'argent sur Roblox. Presque tous jouent à Roblox. Ils achètent donc l'équipement le plus cool pour leur avatar Roblox, des jeux vidéo, des skins et des choses comme ça”, explique Plum.
Plum ajoute qu'ils achètent aussi souvent des cartes-cadeaux en crypto-monnaie sur la place de marché de cartes-cadeaux Bitrefill, dépensent des milliers de dollars en Uber Eats, achètent des vêtements de marque, paient des gens pour faire leurs devoirs à leur place et achètent même des voitures qu'ils ne savent pas encore conduire. Et ils s'adonnent également aux jeux d'argent.
“Ils misent 40 000 dollars chacun sur un jeu de poker en ligne et le diffusent à tous les autres joueurs dans un appel Discord. Tout le monde verra cette personne jouer à ce jeu de poker”, expliquent-ils.
Selon Plum, le exploiteurs essaient de dissimuler leurs traces en payant des personnes dans les pays à faible revenu pour qu'elles utilisent leurs données personnelles afin de s'inscrire sur des bourses d'échange et ainsi cacher la piste lorsqu'elles sont payées. Mais ils affirment qu'au moins certains d'entre eux auraient déjà dû être attrapés, car ils laissent derrière eux de nombreuses preuves de leurs actions, si ce n'était le manque d'intérêt des organismes chargés de l'application de la loi pour les attraper.
En ce qui concerne la raison pour laquelle les auteurs croient pouvoir s'en tirer avec ce genre d'attaques, Plum a émis l'hypothèse qu'”ils se sentent invincibles, ils ont le mode Dieu : que personne ne peut les toucher”.
Bien que des pays comme la Corée du Nord soient également impliqués dans des attaques de… hameçonnage ciblant les NFT, ils ont tendance à utiliser leurs propres drains et sont moins impliqués dans la vente de drains, explique Plum. Quant aux créateurs des drains NFT, qui dans certains cas mènent les attaques avec leur propre technologie, ils sont un peu plus insaisissables, mais leurs profils pseudonymes laissent une trace claire.
La montée en puissance des draineurs NFT
L'un des premiers draineurs NFT, Singe, a créé son canal Telegram en août. Mais ce n'est qu'en octobre qu'il est devenu vraiment actif. Au cours des mois suivants, sa technologie a été utilisée pour voler 2 200 NFT, selon PeckShield, d'une valeur de 9,3 millions de dollars, et 7 autres millions de dollars en jetons.
Le 28 février, Monkey a décidé de prendre sa retraite. Dans un message d'adieu, son développeur a déclaré que “tous les jeunes cybercriminels ne devraient pas se perdre dans la poursuite de l'argent facile”. Ils ont conseillé à leur clientèle d'utiliser un draineur concurrent connu sous le nom de Venom.
Venom était un concurrent digne de ce nom. Il s'agissait d'un autre draineur précoce, qui a finalement été utilisé pour voler plus de 2 000 NFT à plus de 15 000 victimes. Les clients du draineur ont utilisé 530 sites de phishing pour mener des attaques ciblées sur des cryptoprojets tels qu'Arbitrum, Circle et Blur, récoltant un total de 29 millions de dollars entre NFT, éther et divers jetons.
Bien que Venom ait été l'un des premiers draineurs de NFT à utiliser la multichaîne, il ne l'a pas fait très bien, ont noté les experts en sécurité. Mais il a été le premier draineur utilisé pour voler des NFT sur le marché NFT Blur.
Les autres concurrents étaient Inferno, qui a été utilisé pour voler 9,5 millions de dollars à 11 000 victimes, et Pussy, qui a été utilisé pour voler 14 millions de dollars à 3 000 victimes. Les clients d'Angel, dont l'origine remonte à un forum de pirates russes, l'ont utilisé pour voler 1 million de dollars à plus de 500 victimes sous forme de NFT et de divers jetons, plus récemment en compromettant le compte Twitter du portefeuille de crypto-monnaies Zerion.
Et puis est arrivé Pink.
Le cas curieux de Pink
25 octobre, Fantasy, expert en sécurité et cofondateur d'une société de crypto-sécurité BlockMage, fouillait dans le serveur Discord de Wallet Guard, un produit cryptographique conçu pour protéger contre les attaques de… , des attaques de phishing. C'est là qu'il est tombé sur un autre compte appelé. BlockDev, qui prétendait être un chercheur en sécurité et gérait un compte Twitter appelé Chainthreats où il a publié des informations de sécurité sur exploits.
Bien que Fantasy et BlockDev aient eu quelques désaccords lors de leur première rencontre, ils ont fini par se parler régulièrement. BlockDev a alors eu une idée : exploiter le portefeuille de crypto-monnaies appartenant au développeur du draineur Venom, en utilisant sa propre API contre lui. BlockDev a expliqué comment ils comptaient s'y prendre, puis a mené l'attaque, dérobant 14 000 dollars en crypto-monnaie au développeur de Venom. Fantasy a regardé tout cela se dérouler et a noté le portefeuille que BlockDev a utilisé pour mener à bien l'attaque.
Plus tôt dans l'année, un nouveau draineur de NFT a fait irruption sur la scène, appelé. Rose. Ce programme semblait plus avancé que ses prédécesseurs. Il est rapidement devenu populaire et a été utilisé pour voler des NFT lors d'une vague d'attaques. Ce n'est que lorsque Fantasy a enquêté dessus qu'elle a remonté la source des fonds utilisés pour mettre en place le draineur jusqu'au portefeuille de BlockDev, suggérant qu'il s'agissait de la même personne.
“J'ai vérifié la source de financement initiale, ainsi que l'activité générale entre les deux portefeuilles : ils partagent une activité similaire. Je l'ai confronté et il n'était pas très content”, raconte Fantasy. “Je l'ai déçu en tant que personne. Il pensait qu'il pouvait me faire confiance, ce que j'ai trouvé très drôle.”
À ce moment-là, le chercheur présumé, désormais connu sous le nom de Pink, a supprimé ses comptes Discord et Twitter et a coupé les ponts avec des chercheurs en sécurité tels que Fantasy et Plum.
Pink a continué à être utilisé pour des exploits plus importants tout au long des mois de mai et juin, notamment sur les Discords de Orbiter Finance, LiFi, Flare et Evmos, ainsi que sur le compte Twitter de Steve Aoki et d'autres.
Les attaquants ont à nouveau employé la tactique consistant à se faire passer pour des journalistes pour mener des interviews et ont souvent demandé aux modérateurs de Discord, ou à toute autre personne qu'ils visaient, de mettre en signet une page web particulière. Selon ScamSniffer, cette étape clé est celle par laquelle ils finissent par s'infiltrer dans les serveurs.
Plum et Fantasy ont souligné que l'empaleur Pink parvient à contourner les protections, telles que les extensions de portefeuille, qui sont conçues pour empêcher ce type de vol. Ils ont déclaré que Pink a réussi à contourner les extensions de portefeuille. Univers de poche y Wallet Guard. Ils ont également mis en œuvre un moyen de voler des jetons et des NFT en même temps dans Blur, qu'ils ont décrit comme une avancée significative.
En ce qui concerne ce qui peut être fait pour se protéger contre ces types d'attaques, Plum a déclaré que les extensions de portefeuilles axées sur la sécurité sont toujours bonnes pour protéger les portefeuilles en général. Ils ont noté que c'est une bonne pratique d'utiliser plusieurs portefeuilles et de stocker de grandes quantités de fonds dans des portefeuilles froids, et ont ajouté qu'il est également bon de révoquer les approbations – lorsqu'un portefeuille donne la permission à la blockchain d'interagir avec un jeton particulier – si le jeton en question n'est pas activement utilisé.
“Ne te prépare pas à ce qu'une seule erreur – si tu es distrait par les cris de tes enfants – te fasse perdre tout ce que tu as”, a déclaré Plum.
