Cybersécurité dans Web3 : Protégez-vous (et votre Ape JPEG)

Même si Web3 les évangélistes vantent depuis longtemps les fonctionnalités de sécurité natives de la blockchain, le torrent d'argent qui coule dans l'industrie en fait une perspective tentante pour les pirates, escrocs et voleurs.

Lorsque de mauvais acteurs réussissent à violer la cybersécurité Web3, c'est souvent parce que les utilisateurs ignorent les menaces les plus courantes de la cupidité humaine, du FOMO et de l'ignorance, plutôt qu'en raison de failles dans la technologie.

De nombreuses escroqueries promettent de gros gains, des investissements ou des avantages exclusifs ; la FTC appelle ces opportunités lucratives et investissements les escroqueries.

Beaucoup d'argent dans les escroqueries

Selon un juin 2022 rapport par la Federal Trade Commission, plus d'un milliard de dollars en crypto-monnaie ont été volés depuis 1. Et les terrains de chasse des pirates sont l'endroit où les gens se rassemblent en ligne.

"Près de la moitié des personnes qui ont déclaré avoir perdu de la crypto à cause d'une arnaque depuis 2021 ont déclaré que cela avait commencé par une annonce, une publication ou un message sur une plate-forme de médias sociaux", a déclaré la FTC.

Bien que les apparitions frauduleuses semblent trop belles pour être vraies, les victimes potentielles peuvent suspendre leur incrédulité étant donné l'intense volatilité du marché de la cryptographie ; les gens ne veulent pas manquer la prochaine grande chose.

Les attaquants ciblant les NFT

Avec les crypto-monnaies, NFTs, ou jetons non fongibles, sont devenus un de plus en plus populaire cible des escrocs ; selon la firme de cybersécurité Web3 Laboratoires TRM, dans les deux mois suivant mai 2022, la communauté NFT a perdu environ 22 millions de dollars à cause d'escroqueries et d'attaques de phishing.

Collections « blue chips » telles que Singe ennuyé Yacht Club (BAYC) sont une cible particulièrement prisée. En avril 2022, le compte Instagram BAYC a été piraté par des escrocs qui ont détourné les victimes vers un site qui a vidé leurs portefeuilles Ethereum de crypto et de NFT. Quelque 91 NFT, d'une valeur combinée de plus de 2.8 millions de dollars, ont été volés. Des mois plus tard, un Exploit de discorde a vu des NFT d'une valeur de 200 ETH volés aux utilisateurs.

Les détenteurs de BAYC de haut niveau ont également été victimes d'escroqueries. Le 17 mai, l'acteur et producteur Seth Green a tweeté qu'il avait été victime d'une escroquerie par hameçonnage entraînant le vol de quatre NFT, dont Bored Ape #8398. En plus de mettre en évidence la menace posée par les attaques de phishing, cela aurait pu faire dérailler une émission de télévision/streaming sur le thème de la NFT planifiée par Green, "White Horse Tavern". Les NFT BAYC incluent des droits de licence pour utiliser le NFT à des fins commerciales, comme dans le cas du Ennuyé et affamé restaurant de restauration rapide à Long Beach, Californie.

Lors d'une session Twitter Spaces le 9 juin, Vert a déclaré qu'il avait récupéré le JPEG volé après avoir payé 165 ETH (plus de 295,000 XNUMX $ à l'époque) à une personne qui avait acheté le NFT après son vol.

"Le phishing reste le premier vecteur d'attaque", explique Luis Lubeck, ingénieur en sécurité de la société de cybersécurité Web3. Halborn, A déclaré Décrypter.

Lubeck dit que les utilisateurs doivent être conscients des faux sites Web qui demandent des informations d'identification de portefeuille, des liens clonés et des faux projets.

Selon Lubeck, une escroquerie par hameçonnage peut commencer par l'ingénierie sociale, informant l'utilisateur d'un lancement précoce de jeton ou qu'il multipliera par 100 son argent, une API faible ou que son compte a été piraté et nécessite un changement de mot de passe. Ces messages sont généralement accompagnés d'un temps d'action limité, ce qui renforce encore la peur de l'utilisateur de passer à côté, également connue sous le nom de FOMO.

Dans le cas de Green, l'attaque de phishing est venue via un lien cloné.

L'hameçonnage par clone est une attaque par laquelle un escroc prend un site Web, un e-mail ou même un simple lien et crée une copie presque parfaite qui semble légitime. Green pensait qu'il fabriquait des clones de "GutterCat" en utilisant ce qui s'est avéré être un site Web de phishing.

Lorsque Green a connecté son portefeuille au site Web de phishing et a signé la transaction pour frapper le NFT, il a donné aux pirates l'accès à ses clés privées et, à leur tour, à ses Bored Apes.

Types de cyberattaques

Les failles de sécurité peuvent affecter à la fois les entreprises et les particuliers. Bien qu'il ne s'agisse pas d'une liste complète, les cyberattaques ciblant Web3 entrent généralement dans les catégories suivantes :

• ? Phishing: L'une des formes de cyberattaques les plus anciennes mais les plus courantes, les attaques de phishing se présentent généralement sous la forme d'e-mails et incluent l'envoi de communications frauduleuses telles que des SMS et des messages sur les réseaux sociaux qui semblent provenir d'une source fiable. Cette la cybercriminalité peut également prendre la forme d'un site Web compromis ou codé de manière malveillante qui peut vider le crypto ou NFT d'un portefeuille basé sur un navigateur attaché une fois qu'un portefeuille crypto est connecté.
• ?‍☠️ Malware: Abréviation de logiciel malveillant, ce terme générique couvre tout programme ou code nuisible aux systèmes. Les logiciels malveillants peuvent pénétrer dans un système par le biais d'e-mails, de SMS et de messages de phishing.
• ? Sites Web compromis: Ces sites Web légitimes sont piratés par des criminels et utilisés pour stocker des logiciels malveillants que les utilisateurs sans méfiance téléchargent une fois qu'ils ont cliqué sur un lien, une image ou un fichier.
• ? URL Spoofing: Dissocier les sites Web compromis ; Les sites Web usurpés sont des sites malveillants qui sont des clones de sites Web légitimes. Également connus sous le nom de URL Phishing, ces sites peuvent collecter des noms d'utilisateur, des mots de passe, des cartes de crédit, des crypto-monnaies et d'autres informations personnelles.
• ? Fausses extensions de navigateur: Comme leur nom l'indique, ces exploits utilisent de fausses extensions de navigateur pour duper les crypto-utilisateurs afin qu'ils saisissent leurs informations d'identification ou leurs clés dans une extension qui donne au cybercriminel l'accès aux données.

Ces attaques visent généralement à accéder, voler et détruire des informations sensibles ou, dans le cas de Green, un Bored Ape NFT.

Que pouvez-vous faire pour vous protéger?

Lubeck dit que la meilleure façon de se protéger contre le phishing est de ne jamais répondre à un e-mail, un SMS, un télégramme, un Discord ou un message WhatsApp d'une personne, d'une entreprise ou d'un compte inconnu. "J'irai plus loin que cela", a ajouté Lubeck. "N'entrez jamais d'informations d'identification ou d'informations personnelles si l'utilisateur n'a pas démarré la communication."

Lubeck recommande de ne pas saisir vos informations d'identification ou vos informations personnelles lorsque vous utilisez des réseaux ou des réseaux Wi-Fi publics ou partagés. De plus, Lubeck raconte Décrypter que les gens ne devraient pas avoir un faux sentiment de sécurité parce qu'ils utilisent un système d'exploitation ou un type de téléphone particulier.

"Lorsque nous parlons de ces types d'escroqueries : hameçonnage, usurpation d'identité de page Web, peu importe que vous utilisiez un iPhone, Linux, Mac, iOS, Windows ou Chromebook", dit-il. « Nommez l'appareil ; le problème est le site, pas votre appareil.

Gardez votre crypto et vos NFT en sécurité

Regardons un plan d'action plus « Web3 ».

Dans la mesure du possible, utilisez du matériel ou un air-gap portefeuilles pour stocker des actifs numériques. Ces appareils, parfois décrits comme des "stockages à froid", suppriment votre crypto d'Internet jusqu'à ce que vous soyez prêt à l'utiliser. Bien qu'il soit courant et pratique d'utiliser des portefeuilles basés sur un navigateur comme MetaMask, n'oubliez pas que tout ce qui est connecté à Internet peut être piraté.

Si vous utilisez un mobile, un navigateur ou un portefeuille de bureau, également connu sous le nom de hot wallet, téléchargez-les à partir de plateformes officielles comme le Google Play Store, l'App Store d'Apple ou des sites Web vérifiés. Ne téléchargez jamais à partir de liens envoyés par SMS ou par e-mail. Même si des applications malveillantes peuvent se retrouver dans les magasins officiels, c'est plus sûr que d'utiliser des liens.

Après avoir terminé votre transaction, déconnectez le portefeuille du site Web.

Assurez-vous de garder vos clés privées, phrases de départ et mots de passe privés. Si on vous demande de partager ces informations pour participer à un investissement ou à un monnayage, c'est une arnaque.

N'investissez que dans des projets que vous comprenez. Si le fonctionnement du programme n'est pas clair, arrêtez-vous et faites plus de recherches.

Ignorez les tactiques à haute pression et les délais serrés. Souvent, les escrocs l'utiliseront pour essayer d'invoquer FOMO et empêcher les victimes potentielles de penser ou de faire des recherches sur ce qu'on leur dit.

Enfin, si cela semble trop beau pour être vrai, il s'agit probablement d'une arnaque.