L’attaquant qui a vidé les 572 portefeuilles Ethereum pour un total de 760 000 USD avait un accès direct aux clés privées de chacun d’entre eux. C’est la conclusion centrale de l’analyse en chaîne publiée par le chercheur connu sous le nom de The Smart Ape sur le vol de fonds dans les adresses Ethereum survenu entre le 29 et le 30 avril.
Le signe le plus clair, selon The Smart Ape, c’est que 99% des fonds extraits étaient de l’éther natif (ETH). Selon leur rapport, un seul jeton supplémentaire est apparu dans l’ensemble de l’incident (402 SAI, équivalent à environ 8 900 USD), ce qui exclurait donc d’autres vecteurs utilisés dans ce type de vol :
L’ensemble d’outils standard Drain-as-a-Service fonctionne en incitant les utilisateurs à signer des approbations. Une fois cette signature en chaîne, le draineur extrait USDC, USDT, WETH, tout ce qui a une approbation. Vous verriez une longue et laide liste de jetons. Sorties uniquement en ETH Ils sont la signature de quelqu’un qui signe lui-même les transactionsc’est-à-dire que vous disposez de la clé privée, pas seulement d’une fausse autorisation pour déplacer des fonds.
The Smart Ape, analyste et chercheur en chaîne.
Qu’est-ce que le type de portefeuilles concernés contribue à l’analyse de l’attaque ?
Comme l’a rapporté CriptoNoticias, il a été initialement estimé que L’attaque a concentré les portefeuilles avec des années d’inactivitécertains jusqu’à 14 ans.
Cependant, l’analyse de The Smart Ape montre que ce n’est qu’une partie du tableau, car 54 % des 572 portefeuilles épuisés avaient été actifs au cours des 12 derniers moiset 19 autres n’avaient jamais soumis une seule transaction. “C’est inhabituel car la plupart des vecteurs d’attaque connus ciblent une population spécifique”, note le chercheur.
Le graphique suivant partagé par le chercheur révèle le temps d’arrêt des portefeuilles concernés au moment de la vidange :
“Cet (l’attaquant) semblait avoir une clé pour chaque type de portefeuille en même temps”, donc cette hétérogénéité exclut que le pirate informatique ait exploité une vulnérabilité spécifique d’un outil ou d’une période spécifique, selon l’analyste.
Plus de caractéristiques de l’attaque sur les portefeuilles Ethereum
Selon l’analyse en chaîne de The Smart Ape, l’attaque présentait deux autres conditions qui nous permettent de reconstituer le fonctionnement de l’attaquant.
Le premier est le rythme. 572 portefeuilles vidés en 13 heures, c’est rapide, mais pas irrégulier, a déclaré le chercheur. L’heure de pointe, 5h00 UTC le 30 avril, a concentré 244 portefeuilles vidés en soixante minutes, donc “cette cadence est cohérente avec un script parcourant une liste”a-t-il souligné.
Cela est également incompatible avec un entonnoir de phishing : les campagnes de phishing s’écoulent pendant des jours, lorsque les utilisateurs ouvrent des e-mails ou des messages directs.
The Smart Ape, analyste et chercheur en chaîne.
Et le second est le comportement après drainage. Après le piratage, les fonds ont été consolidés et envoyés en une seule transaction vers le protocole ThorChain, d’où ils ont été reliés à Bitcoin et Monerotel que rapporté par CriptoNoticias. Le Smart Ape précise qu’avant ce transfert, l’attaquant a envoyé deux petites transactions tests de 0,02 ETH et 2 ETH pour vérifier le chemin de sortie, et a attendu trois heures après avoir terminé la vidange avant de déplacer l’argent.
Qu’est-ce qui a pu causer le vol ?
L’hypothèse la plus plausible, selon The Smart Ape, est la fuite LastPass d’août 2022, lorsque Les attaquants ont eu accès à des coffres-forts de mots de passe cryptés que de nombreux utilisateurs utilisaient pour stocker des phrases de récupération et des clés privées.
“Le calendrier correspond : d’ici 2026, le décryptage par force brute du GPU contre les coffres-forts les plus faibles atteint sa maturité”, écrit l’analyste. Chainalysis et d’autres chercheurs avaient déjà lié des vols antérieurs non attribués à cette même violation, selon The Smart Ape.
D’autres vecteurs possibles, selon le chercheur, sont Versions compromises de bibliothèques de portefeuille ou de robots de trading qui obligent l’utilisateur à coller sa clé privée directement dans l’application. Cela expliquerait la présence de portefeuilles actifs l’année dernière parmi les victimes. Une violation du backend de l’un de ces services produirait exactement le type de portefeuilles actifs qui constituent la moitié de la liste des victimes :
Bots Snipe, robots de trading de copie, robots MEV – beaucoup d’entre eux nécessitent que les utilisateurs collent une clé privée directement dans l’application.
The Smart Ape, analyste et chercheur en chaîne.
La conclusion de Smart Ape est que l’attaquant a probablement regroupé plusieurs sources de clés divulguées dans une seule liste, appliqué un filtre de rentabilité (uniquement les portefeuilles dont les soldes sont supérieurs à un seuil) et exécuté la vidange en un seul balayage coordonné.
“Cela explique pourquoi la répartition de l’inactivité est si désordonnée : d’anciens portefeuilles ICO à côté d’installations récentes de MetaMask, car la seule chose qu’ils ont en commun est que leur clé est apparue dans un endroit auquel cet attaquant a accès”, a détaillé l’analyste.
Ainsi, bien que le vecteur d’attaque reste non confirmé, pour ceux qui ont stocké des clés privées ou des phrases de récupération dans LastPass, Bitwarden ou tout autre gestionnaire de mots de passe compromis ces dernières années, The Smart Ape a une recommandation spécifique : “Faites pivoter ces clés. Le portefeuille que vous avez oublié en 2018 est exactement celui que recherche ce script. “
