$24M Phishing Heist : Comment les hackers ont transformé les approbations de jetons en une machine à vider

Souvenez-vous quand « simplement approuver une transaction » semblait inoffensif ? En mars, un signal d’alarme sur la sécurité de la blockchain a prouvé le contraire.

En septembre 2023, une baleine crypto a perdu $24 millions à cause d’une attaque de phishing ciblant le service de staking de Rocket Pool. L’attaque était parfaitement rodée : les hackers ont trompé la victime pour qu’elle signe une transaction « Augmenter l’Autorisation » — en gros, leur donnant les clés de leur coffre à tokens. Le bilan ? 9 579 stETH + 4 851 rETH disparus en deux phases.

Avançons jusqu’au 21 mars : CertiK a repéré le hacker transférant 3 700 ETH ( ~10 millions de dollars ) vers Tornado Cash, un service de mixage conçu pour obscurcir les traces des fonds. À ce moment-là, l’analyse de PeckShield montrait que les actifs volés avaient été consolidés en 13 785 ETH + 1,64 million de DAI, avec des parties déjà acheminées via FixedFloat et dispersées dans plusieurs portefeuilles.

Pourquoi cela importe (Et pourquoi vous devriez vous en soucier)

Ce n’était pas une faille exotique dans un contrat intelligent — c’était une abuse d’approbation de tokens, l’une des vulnérabilités les plus négligées de la crypto. Le rapport Scam Sniffer dresse un tableau sombre : $47 millions perdus à cause du phishing en février seulement, avec 78 % touchant Ethereum et les tokens ERC-20 représentant 86 % de tous les vols.

La partie la plus effrayante ? Ce ne sont pas seulement les gros joueurs qui se font avoir. Le 20 mars, les utilisateurs de Dolomite ont découvert qu’un ancien contrat qu’ils avaient précédemment approuvé était utilisé pour vider des portefeuilles. La plateforme a dû émettre un avis d’urgence pour révoquer ces autorisations.

Qu’est-ce qui a mal tourné (Et ce qui pourrait bien se passer)

Les approbations de tokens sont un mal nécessaire dans la DeFi — elles permettent aux protocoles d’exécuter des transactions en votre nom. Mais voici le piège : une fois que vous approuvez, vous faites confiance à ce contrat pour toujours, jusqu’à ce que vous le révoquiez manuellement. Les hackers exploitent cela en :

1. Vous faisant approuver un contrat malveillant via phishing
2. Vidant votre portefeuille de façon systématique au fil du temps
3. Mélangeant les fonds via des services comme Tornado Cash pour couvrir leurs traces

Cependant, toutes les histoires ne se terminent pas en pertes. Layerswap a montré qu’une réponse rapide peut limiter les dégâts — ils ont arrêté un $100K vol en cas de compromission de leur site, puis ont indemnisé les utilisateurs de leur poche.

La réalité

Le secteur de la sécurité crypto est en course contre la montre. Chaque attaque de phishing révèle de nouvelles vulnérabilités, et chaque exploit enseigne aux hackers de nouvelles astuces. La différence entre une $10M perte et une $100K catastrophe réside souvent dans une seule chose : si vous avez révoqué vos anciennes autorisations de tokens.

Les incidents de ce mars ne sont pas des exceptions — ce sont des avertissements. À mesure que la DeFi devient plus sophistiquée, les attaques aussi le deviennent.