La communauté crypto a reçu un nouveau rappel de la nécessité de rester vigilante pendant un marché haussier, après qu’un utilisateur de portefeuille matériel a signalé des pertes importantes attribuées à une attaque de phishing.

L’utilisateur, connu sous le pseudonyme « Anchor Drops » sur la plateforme X, a partagé le 13 décembre des pertes personnelles s’élevant à 10 bitcoin ( BTC ) sur son portefeuille Ledger Nano S.

En plus de la perte estimée à environ 1 million de dollars en BTC, Anchor Drops a indiqué avoir perdu des token non fongibles (NFT) d’une valeur de 1,5 million de dollars, également stockés dans ce portefeuille.

La communauté crypto et Ledger ont attribué cet incident à un piratage par phishing qui aurait eu lieu il y a plusieurs années, mais qui ne serait devenu apparent que récemment.

Ledger pointe du doigt les transactions malveillantes datant de plusieurs années

Ledger a déclaré à Cointelegraph qu’Anchor Drops « semble avoir été victime d’une attaque de phishing et de transactions malveillantes il y a plusieurs années ».

Le fabricant de portefeuilles a fait référence à une publication sur X par un membre de la communauté, KDean, qui a lié cette perte à une transaction de phishing impliquant l’adresse Ethereum compromise partagée par Anchor Drops.

Marquée « Fake_Phishing5443 », la prétendue transaction de phishing a eu lieu le 22 février 2022.

Crypto : Un utilisateur perd 10 BTC et 1,5 M$ en NFT après une attaque de phishing image 0

L'utilisateur X Anchor Drops a déclaré avoir perdu 10 BTC et 1,5 million de dollars en NFT stockés sur Ledger. Source: Anchor Drops

Plusieurs plateformes de sécurité blockchain ont confirmé que la transaction identifiée par KDean était probablement responsable des pertes.

« Les preuves sur la blockchain montrent qu’ils ont signé une transaction de phishing il y a près de trois ans, accordant, sans le savoir, une autorisation à un acteur malveillant, » a expliqué Hakan Unal, scientifique principal chez Cyvers, une plateforme de sécurité blockchain.

« Le pirate est resté inactif pendant des années avant de finalement vider le portefeuille, » a-t-il ajouté, en précisant que cet incident n’a aucun lien avec Ledger lui-même. Unal a par ailleurs souligné :

« Nous encourageons vivement les utilisateurs à suivre les meilleures pratiques et à revoir régulièrement les autorisations des tokens pour assurer la sécurité de leurs actifs.  »

Des questions entourent la perte de bitcoin

Alors que les pertes de NFT étaient liées à des transactions en Ethereum, on ne sait toujours pas comment l'activité malveillante s'est étendue aux avoirs en bitcoins de l'utilisateur.

« Pour les NFT, le commentaire de KDean explique tout. Mais je ne comprends pas comment le BTC a été volé, » a confié Tony Ke, chercheur principal en sécurité chez Fuzzland, à Cointelegraph.

Crypto : Un utilisateur perd 10 BTC et 1,5 M$ en NFT après une attaque de phishing image 1

La transaction de phishing « Fake_Phishing5443 » a eu lieu il y a 1 019 jours. Source : Etherscan

Cyvers et Ledger ont suggéré qu’une transaction malveillante sur Ethereum pourrait avoir des répercussions sur d’autres blockchains au sein du même portefeuille.

« Si la tentative de phishing a également capturé la phrase de récupération de l'utilisateur, l'attaquant pourrait accéder au portefeuille sur toutes les blockchains prises en charge, y compris Bitcoin, » a déclaré Unal de Cyvers.

À lire également : Scam Sniffer alerte sur une nouvelle méthode de vol de crypto

« Puisque nous savons que l’utilisateur a été victime de phishing via le portefeuille ETH, nous pouvons supposer une erreur de l’utilisateur pour le BTC également » a déclaré un porte-parole de Ledger à Cointelegraph.

Suite à l'incident, Ledger a fortement conseillé aux utilisateurs de rester vigilants lors de la signature de toute transaction on-chain.

« L’utilisation de Hardware wallet est capital pour renforcer la sécurité, mais il est tout aussi important de comprendre chaque interaction avec le portefeuille et de prendre des décisions éclairées, » a conclu Tony Ke de Fuzzland.