Ces dernières années, avec le développement rapide de la DeFi (finance décentralisée), les méthodes d'attaques de phishing sur les contrats intelligents ont également évolué, parmi lesquelles l'autorisation malveillante (Malicious Approval) est devenue l'une des méthodes d'attaque les plus couramment utilisées par les hackers. Contrairement au phishing traditionnel, cette méthode d'attaque est plus discrète, et les utilisateurs se font souvent voler leurs actifs à cause d'opérations d'autorisation erronées sans s'en rendre compte.
Principe de l'attaque
Le cœur de l'attaque par autorisation malveillante réside dans l'incitation des utilisateurs à accorder des droits d'opération de tokens sur des contrats malveillants ou des DApps de phishing. Les attaquants vont généralement :
Faux interfaces de DApp renommées : imiter des plateformes comme Uniswap, OpenSea, etc., pour tromper les utilisateurs afin qu'ils connectent leur portefeuille et signent des transactions d'autorisation.
Implantation de contrats malveillants : cacher des fonctions approve ou increaseAllowance à hautes permissions dans des transactions apparemment normales, afin d'obtenir un droit de transfert illimité des tokens de l'utilisateur.
Utilisation de l'ingénierie sociale : inciter les utilisateurs à interagir avec des contrats malveillants par le biais d'airdrops, de promotions frauduleuses, etc.
Mesures de prévention
Vérifiez les enregistrements d'autorisation : utilisez régulièrement des outils comme Revoke.cash pour nettoyer les autorisations inutiles.
Méfiez-vous des DApps inconnus : évitez de cliquer sur des liens suspects et privilégiez l'accès aux plateformes DeFi par des canaux officiels.
Vérifiez les détails de la transaction : avant de signer dans le portefeuille, vérifiez soigneusement l'adresse du contrat et le montant autorisé, afin d'éviter de signer des demandes approve suspectes.
L'attaque par autorisation malveillante est devenue une menace majeure pour l'écosystème DeFi, les utilisateurs doivent accroître leur sensibilisation à la sécurité pour éviter des pertes d'actifs dues à une négligence momentannée.
