Les différents types de cyber-attaques dans le Web 3.0

ENS Domains - DNS pour les portefeuilles de crypto-monnaies

Dans le domaine des cryptomonnaies, certains utilisateurs spéculent sur différents noms de domaine .eth dans l’espoir d’en tirer profit. Certains domaines ENS (Ethereum Name Service) tels que cisco.eth, wellsfargo.eth, foxnews.eth, etc. ne sont pas toujours détenus par les entreprises qui possèdent ces marques, mais par des tiers. Le risque est ici évident : rien n’empêche les propriétaires de ces domaines ENS d’utiliser ces noms pour tromper les utilisateurs.

Les attaques d’ingénierie sociale dominent le Web 3.0

Les nouvelles technologies amènent souvent les utilisateurs à prendre de mauvaises décisions et le Web 3.0 ne fait pas exception.

Clonage de portefeuilles : Sur Discord, la commande !join dans le channel #verify entraîne l’envoi d’un message par les cybercriminels afin de vérifier l’identité de la personne. L’objectif est que l’utilisateur communique sa seed phrase.

"Je suis de Metamask, et je suis là pour vous aider" : Afin d’obtenir cette seed phrase, d’autres se font passer pour des agents du service client. Ils surveillent les channels liés aux demandes d’aide sur Twitter et Discord afin de contacter les utilisateurs pour leur “offrir de l’aide”.
Inversion des rôles : Une seed phrase ne doit jamais être partagée et la plupart des utilisateurs l’ont bien compris. Toutefois, certains cybercriminels du Web 3.0 la divulguent intentionnellement afin de profiter d’utilisateurs peu scrupuleux.
"Thar she blows !" - Escroquerie via les Whales : De nombreux petits investisseurs surveillent les portefeuilles des Whales, et les cybercriminels s’en servent pour les inciter à investir dans leur projet.

Contrats intelligents malveillants

Si certains se concentrent sur l’exploitation de failles dans les contrats intelligents légitimes, d’autres cybercriminels adoptent une approche différente et écrivent leurs propres logiciels malveillants qui sont placés sur la blockchain sous la forme de code de contrat intelligent malveillant.

Le "sleepminting" : Falsification de la provenance des NFT : De nombreux NFT utilisent le même contrat intelligent. Le modèle de base est simplement modifié pour répondre aux besoins du projet NFT spécifique. Cependant, rien ne les empêche d’écrire leur propre code de contrat intelligent ERC-721.

Les cybercriminels incitent les utilisateurs à donner accès aux portefeuilles : En voulant frapper des NFT sur un site hacké, un utilisateur peut autoriser un tiers, sans le vouloir, à accéder au contenu de son portefeuille de crypto-monnaies.

Quatre conseils pour rester en sécurité sur le Web 3.0

Mettre en pratique les principes fondamentaux de la sécurité. Choisir des mots de passe solides, privilégier l’authentification multifactorielle (MFA), utiliser un gestionnaire de mots de passe, segmenter les réseaux, enregistrer l’activité du réseau et l’examiner, analyser les adresses Internet, les domaines ENS et les porte-monnaie de crypto-monnaie, éviter de cliquer sur les liens envoyés via les réseaux sociaux ou par e-mails qui n’ont pas été sollicités.
Protéger sa seed phrase. Les portefeuilles de crypto-monnaies sont de plus en plus utilisés pour l’identification et la personnalisation dans le metaverse. Perdre sa seed phrase revient donc à perdre le contrôle de son identité et de tous ses biens numériques.
Utiliser un portefeuille matériel. Cela ajoute une couche de sécurité supplémentaire à ses actifs en crypto-monnaies ou NFT puisqu’il est nécessaire de connecter l’appareil, saisir un code PIN et approuver ou rejeter toute transaction impliquant l’adresse du portefeuille.
Faire des recherches sur ses achats. Avant d’acheter des NFT, il est préférable de rechercher l’adresse du contrat intelligent et voir si le code source est publié ainsi que de chercher des informations concernant les développeurs du projet car les développeurs anonymes peuvent plus facilement abandonner leur projet à tout moment. Dans tous les cas, lors de l’achat d’un NFT, utiliser un portefeuille contenant juste assez de fonds pour couvrir le coût de ses achats permet de ne pas perdre l’ensemble de son portefeuille principal en cas de fraude.