Sécurité des Portefeuilles Web3

Sécurité des Portefeuilles Web3 : Comment les Escroqueries d'Approbation Falsifiées Exploitent la Fonction de Révocation

2025-02-28

Principaux Enseignements

Les escroqueries de révocation d'approbation trompent les utilisateurs de Web3 en leur faisant croire qu'ils sécurisent leurs portefeuilles en révoquant des approbations de transaction – mais en réalité, les victimes paient des « frais de gaz » exorbitants qui vont directement dans les poches des escrocs.

Les criminels exploitent la fonction "révoquer" des portefeuilles Web3, l'utilisant pour vider vos fonds à chaque tentative d'annuler des permissions pour une fausse approbation.

Pour protéger vos actifs, vérifiez toujours les approbations, vérifiez les frais et abordez toutes les transactions Web3 avec prudence.



"Révoquer" est toujours sûr, n'est-ce pas ? C'est ce que la plupart des utilisateurs de crypto croient, surtout puisque "révoquer" est souvent considéré comme une partie essentielle de l'hygiène des portefeuilles Web3. Malheureusement, les escrocs ont trouvé un moyen d'exploiter cette même fonction. Dans nos précédents blogs sur la sécurité des portefeuilles Web3, nous avons couvert les risques inhérents à l'approbation de transactions de contrats intelligents sans vérifier soigneusement tous les détails. Dans ce blog, nous allons décomposer ce que sont les escroqueries d'approbation falsifiées, comment les escrocs manipulent la fonction "révoquer" à leur avantage, et surtout, comment vous pouvez éviter de devenir victime de ces tactiques.

Qu'est-ce que les Escroqueries d'Approbation Falsifiées ?

Les escroqueries d'approbation falsifiées exploitant le truc "révoquer" trompent les utilisateurs en pensant qu'ils reprennent les permissions de transaction accordées à des plateformes ou des contrats intelligents inconnus. Lorsque les utilisateurs tentent de le faire, ils finissent par payer des « frais de gaz » exorbitants, tout en croyant qu'ils sécurisent leurs portefeuilles.

L'Appât : En parcourant leurs approbations de tokens sur un explorateur de blockchain comme Etherscan ou dans leur portefeuille, l'utilisateur repère une approbation inconnue pour un token qu'il ne reconnaît pas. On dirait qu'un contrat inconnu a accès à leurs actifs précieux. La panique s'installe, et l'utilisateur se précipite instinctivement pour révoquer l'approbation, croyant qu'il protège sa crypto.

Le Truc : Cependant, aucune approbation réelle n'a jamais été accordée en premier lieu. L'escroc n'a pas touché aux tokens de l'utilisateur. Au lieu de cela, ils ont joué avec la façon dont le portefeuille ou l'explorateur de blockchain affiche les informations pour faire croire que l'accès a été accordé à un contrat inconnu. Ce n'est rien de plus qu'un astucieux truc visuel – une fausse approbation conçue pour sembler légitime. Aucun accès n'a jamais été accordé, mais lorsque l'utilisateur essaie de le révoquer, c'est à ce moment que le déclencheur de l'escroquerie est actionné.

Le Gimmick du Gaz : La transaction de "révocation" que l'utilisateur déclenche est réelle – c'est une action légitime, mais elle est conçue pour leur coûter un bras et une jambe en frais. L'escroc profite de ces coûts de transaction gonflés, les utilisant souvent pour frapper de nouveaux tokens ou exécuter d'autres actions malveillantes sous leur contrôle. Ce que l'utilisateur pensait être un mouvement de protection s'est transformé en une erreur coûteuse. La fausse approbation n'était que de l'appât pour les amener à payer pour rien.

Bien que ces escroqueries ne volent pas directement des fonds, elles exploitent l'utilisateur en vidant son portefeuille par des frais de gaz outrageusement élevés, laissant le reste de ses actifs intacts.

La Boucle Coûteuse : Et le pire dans tout ça ? Cette approbation sournoise ne disparaît pas de l'explorateur. Si l'utilisateur croit que la révocation a échoué, il peut essayer à nouveau, alimentant sans le savoir l'escroc avec plus de fonds. Chaque tentative augmente la perte, car l'escroc obtient une autre chance de s'emparer de la crypto de l'utilisateur. Plus l'utilisateur essaie de corriger cela, plus il tombe dans le piège.

Exemple Réel

Dans l'image ci-dessous, vous remarquerez que l'explorateur de chaîne indique que l'utilisateur a accordé une approbation illimitée pour un « TOKEN BEP-20 * » à un dépensier inconnu. Cette vue alarmante peut déclencher la panique, faisant croire à l'utilisateur qu'il a autorisé sans le savoir un contrat malveillant.



Cependant, en réalité, il s'agit d'un faux token USDT, et les escrocs ont manipulé l'affichage pour créer l'illusion d'une approbation préalable.



Un examen plus attentif de la page de transaction révèle que 300 appels d'approbation supposés ont été générés pour plusieurs adresses liées à ce token frauduleux. Cette tactique est conçue pour amplifier l'urgence, pressant la victime à agir immédiatement.

Lorsque l'utilisateur tente de révoquer l'approbation, il se retrouve plutôt confronté à des frais exorbitants – allant de quelques dollars à potentiellement des centaines et plus. Ces frais ne sont pas simplement gaspillés ; l'escroc en tire activement parti, utilisant la transaction pour frapper de nouveaux tokens ou exécuter d'autres actions malveillantes, tout en restant inaperçu.

Dans l'exemple ci-dessus, la tentative de la victime de révoquer l'approbation a échoué. L'escroc a profité de la transaction pour son propre bénéfice, laissant l'utilisateur avec des frais inattendus et aucune résolution : l'approbation trompeuse est restée visible, renforçant l'illusion qu'une autre tentative était nécessaire.

Comment Repérer et Éviter Ces Escroqueries

Restez Calme

Les escrocs comptent sur la peur et l'urgence pour vous pousser à commettre une erreur. Si quelque chose semble suspect, faites un pas en arrière, respirez et évaluez la situation avant d'agir. Un esprit clair est votre meilleure défense contre le piège qu'ils tendent.

Vérifiez Deux Fois Avant de Cliquer

Avant d'approuver une transaction, prenez un moment pour examiner les détails. Le montant semble-t-il correct ? Reconnaissez-vous l'adresse du contrat ? Y a-t-il des avertissements étranges ou des frais inhabituels ? Si quelque chose semble suspect, vérifiez auprès de sources, plateformes ou forums de confiance.

Connaître Vos Frais

Familiarisez-vous avec la taille moyenne des frais de gaz sur les chaînes que vous utilisez. Si un frais de transaction semble suspectement élevé ou inhabituel, cela pourrait être un signal d'alarme. Utilisez des outils comme le Gas Tracker d'Etherscan, GasNow, ou l'estimateur de gaz de Blocknative pour surveiller les prix du gaz en temps réel et vérifier les coûts attendus avant de procéder.

Éduquez-vous Constamment

Les escrocs affinent toujours leurs tactiques, mais la connaissance est votre meilleure défense. Plus vous comprenez les menaces émergentes et les meilleures pratiques de sécurité, mieux vous êtes armé pour repérer les signaux d'alarme avant qu'ils ne deviennent des erreurs coûteuses. Restez informé avec la Binance Academy et plongez dans notre série sur la sécurité pour des aperçus plus approfondis des dernières fraudes.

Réflexions Finales

Les escrocs prospèrent sur l'urgence, mais un peu de vigilance peut faire une grande différence. La meilleure défense contre ces tactiques trompeuses n'est pas seulement de savoir qu'elles existent, mais de rester un pas en avant en vérifiant les approbations, en vérifiant les frais avec des outils de confiance, et en ne se précipitant jamais dans les transactions. Rappelez-vous, la prudence supplémentaire n'est pas de la paranoïa – c'est une couche supplémentaire de protection dans le monde dynamique de Web3.