Les escrocs ont volé 494 millions de dollars de crypto-monnaie lors d’attaques de draineur de portefeuille l’année dernière qui ont ciblé plus de 300 000 adresses de portefeuille.
Cela représente une augmentation de 67% par rapport aux chiffres de 2023, bien que le nombre de victimes n’ait augmenté que de 3,7%, ce qui indique que les victimes détenaient des montants plus importants en moyenne.
Les données proviennent de la plate-forme anti-arnaque web3 « Scam Sniffer », qui suit l’activité des égouttoirs de portefeuille depuis un certain temps maintenant, signalant précédemment des vagues d’attaques qui ont touché jusqu’à 100 000 personnes à la fois.
Les égouttoirs de portefeuille sont des outils de phishing spécialement conçus pour voler des crypto-monnaies ou d’autres actifs numériques dans les portefeuilles des utilisateurs, souvent déployés sur des sites Web faux ou compromis.
En 2024, Scam Sniffer a observé 30 vols à grande échelle (plus de 1 million de dollars) effectués via des égouttoirs de portefeuille, le plus grand braquage ayant rapporté 55,4 millions de dollars de crypto-monnaie.
Cela s’est produit au début de l’année, lorsque les hausses de prix de Bitcoin ont alimenté l’activité de phishing. Au cours du premier trimestre de l’année, un total de 187 millions de dollars a été volé via des attaques de draineur de portefeuille.
Au deuxième trimestre de l’année, un service d’égouttage notable nommé « Pink Drainer », précédemment vu usurper l’identité de journalistes dans des attaques de phishing pour compromettre les comptes Discord et Twitter pour des attaques de vol de crypto-monnaie, a annoncé sa sortie.
Bien que cela ait entraîné une baisse de l’activité de phishing, les escrocs ont commencé à accélérer progressivement le rythme au troisième trimestre, le service Inferno prenant les devants en causant des pertes de 110 millions de dollars en août et septembre combinés.
Enfin, l’activité s’est tassée au dernier trimestre de l’année, qui n’a représenté qu’environ 10,3% du total des pertes enregistrées en 2024. À cette époque, Acedrainer est également devenu un acteur majeur, prenant 20% du marché des égouttoirs, dit Scam Sniffer.
La plupart des pertes (85,3%) se sont produites sur Ethereum, s’élevant à 152 millions de dollars, tandis que le jalonnement (40,9%) et les pièces stables (33,5%) étaient parmi les plus ciblés.
En ce qui concerne les tendances observées en 2024, Scam Sniffer met en évidence l’utilisation de fausses pages CAPTCHA et Cloudflare, et IPFS pour échapper à la détection, ainsi qu’un changement dans les types de signatures facilitant le vol d’argent.
Plus précisément, la plupart des vols reposaient sur la signature du « permis » (56,7%) ou du « propriétaire » (31,9%) pour drainer des fonds. Le premier donne l’approbation des dépenses en jetons conformément à la norme EIP-2612, tandis que le second met à jour la propriété du contrat intelligent ou les droits administratifs.
Une autre tendance notable est l’utilisation accrue des publicités Google et Twitter comme source de trafic vers les sites Web de phishing, les attaquants utilisant des comptes compromis, des robots et de faux largages de jetons pour atteindre leur objectif.
Pour se protéger des attaques Web3, il est recommandé de n’interagir qu’avec des sites Web fiables et vérifiés, de recouper les URL avec les sites Web officiels du projet, de lire les invites d’approbation des transactions et les demandes d’autorisation avant de signer et de simuler des transactions avant de les exécuter.
De nombreux portefeuilles offrent également des avertissements intégrés pour le phishing ou les transactions malveillantes, alors assurez-vous de les activer. Enfin, utilisez des outils de révocation de jetons pour vous assurer qu’aucune autorisation suspecte n’est active.