Plus de 500 portefeuilles Ethereum ont été vidés d'environ 800 000 $ lors d'une attaque coordonnée ciblant des comptes inactifs depuis longtemps, les fonds volés ayant ensuite été blanchis via le protocole cross-chain ThorChain. L'incident a soulevé de nouvelles inquiétudes quant à la sécurité des anciens avoirs cryptographiques inactifs.
Les enquêteurs on-chain de firmes telles que LevelBlue ont signalé l'activité pour la première fois le 1er mai, notant que l'attaquant a systématiquement siphonné les fonds de centaines de portefeuilles vers une adresse unique. « De nombreux portefeuilles vidés étaient inactifs depuis plus de 7 ans », a déclaré le chercheur on-chain Wazz dans un message, soulignant la nature inhabituelle de l'attaque qui semble avoir ciblé des comptes créés il y a quatre à huit ans.
Le vecteur d'attaque reste non confirmé, bien que les analystes en sécurité suggèrent plusieurs possibilités, notamment l'utilisation de kits de logiciels malveillants tels que StepDrainer. Selon les chercheurs de LevelBlue, ces outils utilisent de fausses fenêtres contextuelles de connexion au portefeuille pour inciter les utilisateurs à approuver des transactions malveillantes. Après le vol, qui s'est produit alors que l'Ethereum s'échangeait près de 2 305,00 $, l'attaquant a acheminé les fonds via ThorChain, échangeant les actifs pour compliquer les efforts de suivi.
Cette exploitation remet en question l'hypothèse de longue date selon laquelle les portefeuilles dormants sont intrinsèquement plus sûrs en raison de leur manque d'interaction avec de nouveaux contrats intelligents. L'incident souligne les risques latents liés à des pratiques de gestion de clés obsolètes ou à des clés privées exposées lors de violations de données historiques qui ne sont exploitées que maintenant. Pour les détenteurs à long terme, cela rappelle de manière cruciale que l'inactivité du portefeuille ne garantit pas à elle seule la sécurité dans un environnement de menace en évolution.
Le vecteur d'attaque reste flou
Le principal mystère entourant le drainage des portefeuilles est l'absence d'un point d'entrée confirmé. Contrairement aux exploits typiques liés à des liens de phishing ou à des approbations de contrats malveillants, cette attaque n'a pas été tracée jusqu'à une vulnérabilité unique. Les chercheurs en sécurité explorent des théories incluant des clés privées compromises provenant d'anciennes fuites de données, des vulnérabilités dans des logiciels de génération de portefeuilles obsolètes, ou l'utilisation de logiciels malveillants sophistiqués de drainage de portefeuilles.
Le logiciel malveillant en tant que service StepDrainer a été identifié comme un coupable potentiel. Il opère sur plus de 20 réseaux blockchain, dont Ethereum, et génère des interfaces de connexion de portefeuille d'apparence authentique qui incitent les utilisateurs à céder le contrôle de leurs actifs. Cette méthode contourne la nécessité d'exploiter une faille de contrat, se concentrant plutôt sur l'ingénierie sociale et l'erreur humaine.
ThorChain utilisé pour le blanchiment
À la suite du vol coordonné, l'attaquant a immédiatement commencé à déplacer les près de 800 000 $ en Ether et autres jetons volés vers ThorChain. Le protocole de liquidité cross-chain décentralisé permet des échanges d'actifs entre différentes blockchains, telles que Ethereum et Bitcoin, sans dépendre d'un intermédiaire centralisé.
En convertissant l'ETH volé en d'autres actifs et en les déplaçant à travers les chaînes, l'attaquant a fragmenté la piste des transactions, ce qui rend la tâche nettement plus difficile pour les enquêteurs pour tracer et récupérer les fonds. Cette tactique est courante dans les exploits DeFi, soulignant la nature à double usage des infrastructures décentralisées.
L'incident a exercé une pression à la baisse sur le prix de l'Ethereum, qui s'échangeait à 2 305,00 $, en hausse de 1,78 % dans les 24 heures suivant la nouvelle, selon les données de Forbes. L'actif fait face à une résistance technique immédiate à ses moyennes mobiles de 5 et 10 jours, autour de 2 308 $ et 2 320 $ respectivement, avec un niveau de support clé à 2 200 $.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
