Des acteurs malveillants ont abusé de la fonction « Create2 » d’Ethereum pour contourner les alertes de sécurité du portefeuille et empoisonner les adresses de crypto-monnaie, ce qui a conduit au vol de 60 000 000 $ de crypto-monnaie à 99 000 personnes en six mois.
C’est ce que rapportent les spécialistes anti-arnaque Web3 de « Scam Sniffer », qui ont observé plusieurs cas d’exploitation sauvage de la fonction, dans certains cas les pertes subies par un individu pouvant atteindre 1,6 million de dollars.
Fonction légitime
Create2 est un opcode dans Ethereum, introduit dans la mise à jour « Constantinople », qui permet de créer des contrats intelligents sur la blockchain.
Contrairement à l’opcode Create original, qui générait de nouvelles adresses en fonction de l’adresse et du nom occasionnel du créateur, Create2 permet de calculer les adresses avant le déploiement du contrat.
Il s’agit d’un outil puissant pour les développeurs Ethereum, permettant des interactions contractuelles avancées et flexibles, un pré-calcul de l’adresse contractuelle basé sur des paramètres, une flexibilité de déploiement, une adéquation aux transactions hors chaîne et à certaines dApps.
Create2 a introduit des avantages significatifs, mais plusieurs implications en matière de sécurité et de nouveaux vecteurs d’attaque les ont également accompagnés.
Abus de l’opcode Create2
Le rapport de Scam Sniffer explique que Create2 peut être utilisé de manière abusive pour générer de nouvelles adresses de contrat sans historique de transactions malveillantes/signalées, contournant ainsi les alertes de sécurité du portefeuille.
Lorsqu’une victime signe une transaction malveillante, l’attaquant déploie un contrat à l’adresse pré-calculée et y transfère les actifs de la victime, un processus irréversible.
Dans un cas récent observé par des analystes, une victime a perdu 927 000 $ de GMX après avoir été amenée à signer un contrat de transfert envoyant les actifs à une adresse pré-calculée.
Le deuxième type d’abus de Create2 consiste à générer des adresses similaires à celles légitimes appartenant au destinataire, incitant ainsi les utilisateurs à envoyer des actifs aux acteurs de la menace, pensant qu’ils les envoient à une adresse connue.
Le système, appelé « empoisonnement d’adresse », consiste à générer un grand nombre d’adresses, puis à sélectionner à chaque fois celles qui correspondent à leurs besoins spécifiques en matière de phishing pour tromper leurs cibles.
Depuis août 2023, Scam Sniffer a enregistré 11 victimes perdant près de 3 millions de dollars, l’une d’elles ayant transféré 1,6 million de dollars à une adresse ressemblant à celle à laquelle elle avait récemment envoyé de l’argent.
La plupart de ces attaques sont passées inaperçues, siphonnant silencieusement des millions de personnes, mais certaines ont attiré l’attention de la communauté.
Au début de l’année, MetaMask a mis en garde contre les fraudeurs utilisant des adresses récemment générées qui correspondent à celles utilisées par la victime lors de transactions récentes.
Dans cette arnaque, l’auteur de la menace peut également envoyer à la victime un petit montant en crypto pour enregistrer l’adresse dans l’historique du portefeuille, augmentant ainsi les chances que la victime effectue le paiement.
Début août 2023, un opérateur Binance a envoyé par erreur 20 millions de dollars à des fraudeurs qui ont utilisé l’astuce de « l’empoisonnement de l’adresse », mais ont rapidement remarqué l’erreur et ont gelé l’adresse du destinataire.
Notamment, l’utilisation d’adresses de crypto-monnaie similaires est une astuce observée dans les outils malveillants de piratage du presse-papiers, comme Laplas Clipper, soulignant l’efficacité de la méthode.
Lors de l’exécution de transactions en crypto-monnaie, il est toujours recommandé de vérifier minutieusement l’adresse du destinataire, et pas seulement les trois ou quatre derniers caractères, avant de l’approuver.