3,047 M$ en USDC dérobés via un faux contrat Request Finance dans une attaque contre Safe

Une récente attaque de phishing a entraîné la perte de 3,047 millions de dollars en USDC. L’exploit a visé un portefeuille multisignature Safe, en utilisant un faux contrat Request Finance.
Les enquêteurs indiquent que les attaquants ont minutieusement planifié leur opération et l’ont exécutée de manière à paraître presque légitime. La victime utilisait un portefeuille multisignature 2-sur-4.

Selon Scam Sniffer, la transaction semblait avoir été traitée via l’interface de l’application Request Finance, mais une approbation de contrat malveillant était dissimulée dans la requête groupée.
L’adresse du faux contrat était presque identique à la véritable, avec seulement de légères différences dans les caractères centraux. Les deux adresses commençaient et se terminaient par le même caractère, ce qui les rendait difficiles à distinguer à première vue.

Pour renforcer leur crédibilité, les attaquants ont même fait vérifier le contrat malveillant sur Etherscan, ce qui le rendait authentique aux yeux de quiconque le consultait rapidement. Une fois l’approbation accordée, les attaquants ont immédiatement vidé les 3,047 millions d’USDC, qu’ils ont ensuite échangés contre de l’ETH, avant de les transférer rapidement vers Tornado Cash afin d’en brouiller la trace.

Un calendrier soigneusement préparé

Le déroulement de l’attaque montre une préparation méthodique. Treize jours avant le vol, les attaquants ont déployé le faux contrat Request Finance, et ont effectué plusieurs transactions « batchPayments » pour le faire paraître actif et fiable.

Au moment où la victime a interagi avec lui, le contrat présentait un historique d’utilisation normal. Lorsqu’elle a utilisé l’application Request Finance, les attaquants ont glissé l’approbation cachée dans la transaction groupée. Une fois la transaction signée, l’exploit était accompli.

Réaction de Request Finance

Request Finance a reconnu l’incident et publié un communiqué pour avertir ses utilisateurs. La société a confirmé qu’un acteur malveillant avait déployé un sosie de son contrat Batch Payment.

Selon le communiqué, un seul client a été touché, et la vulnérabilité a depuis été corrigée. Cependant, la méthode exacte utilisée pour injecter l’approbation malveillante reste inconnue.
Les analystes estiment que les vecteurs d’attaque possibles pourraient inclure une faille dans l’application elle-même, un malware ou des extensions de navigateur modifiant les transactions, voire un détournement du frontend ou du DNS. D’autres formes d’injection de code ne peuvent être exclues.

Des failles de sécurité mises en lumière

Cette affaire illustre la montée des escroqueries dans l’industrie crypto. Les attaquants ne se contentent plus de simples liens de phishing ou de stratagèmes évidents. Ils déploient désormais des contrats vérifiés, imitent des services réels et dissimulent des actions malveillantes dans des transactions complexes.

Les transactions groupées, conçues pour simplifier les paiements, peuvent aussi créer des opportunités pour les attaquants. Comme elles regroupent plusieurs actions, il devient plus difficile pour les utilisateurs de vérifier chaque approbation ou transfert. Cette opacité permet aux attaquants d’insérer des opérations frauduleuses, qui passent inaperçues jusqu’à ce qu’il soit trop tard.

Des leçons pour la communauté

Les experts insistent sur l’extrême prudence à adopter lors de l’utilisation de l’envoi multiple ou des paiements groupés. Chaque approbation de contrat doit être vérifiée caractère par caractère afin d’éviter toute confusion avec des adresses similaires. Le moindre détail négligé peut entraîner des pertes importantes, comme le montre ce cas.

Les sociétés de cybersécurité recommandent également de limiter l’usage des extensions de navigateur et de vérifier les applications non certifiées reliées aux portefeuilles.

Maintenir les logiciels à jour, utiliser des portefeuilles matériels pour les approbations, et recouper les adresses de contrats via des sources fiables sont autant de pratiques qui réduisent les risques de ce type d’attaques. Cet incident rappelle la nécessité de renforcer la protection des utilisateurs sur les plateformes, via des avertissements plus visibles, un signalement automatique des contrats suspects et une meilleure transparence des transactions.

Un rappel coûteux

La perte de 3,047 millions de dollars constitue un nouveau rappel de l’ampleur des risques dans la finance décentralisée. Bien que Safe et Request Finance restent des outils populaires, les attaquants exploitent de plus en plus leur complexité.

Pour les utilisateurs, la prudence reste le seul véritable rempart. Dans ce cas, les assaillants ont misé sur la discrétion, la préparation et un faux convaincant. Malheureusement, cela a suffi pour tromper même une configuration multisignature et en obtenir l’accès.

Cette affaire montre que, dans la crypto, chaque clic et chaque approbation compte.