Cette dernière attaque fait suite à des campagnes de phishing précédentes, y compris de fausses lettres de marque Ledger qui ont été envoyées aux clients en avril. La dernière mise à niveau Pectra d'Ethereum a également introduit une vulnérabilité dangereuse via EIP-7702, permettant des signatures off-chain qui pourraient permettre aux hackers de prendre le contrôle des portefeuilles sans confirmation de l'utilisateur. Cela a suscité de vives inquiétudes parmi les chercheurs en sécurité qui ont même qualifié la menace de critique. Sur la chaîne BNB, le Jeton Mobius (MBU) a subi un exploit de 2,15 millions de dollars lorsque un contrat intelligent malveillant a drainé des millions de jetons et les a convertis en stablecoins.
Les utilisateurs de Ledger de nouveau ciblés
Le fournisseur de portefeuille matériel Ledger a confirmé que son serveur Discord a été sécurisé après qu'un attaquant a compromis le compte d'un modérateur le 11 mai. L'attaquant l'a utilisé pour publier des liens malveillants visant à tromper les utilisateurs afin qu'ils révèlent leurs phrases de graine de portefeuille.
Selon Quintin Boatwright, membre de l'équipe Ledger, la violation a été rapidement contenue. Le compte de modérateur compromis a été supprimé, le bot malveillant a été supprimé, le site Web d'escroquerie a été signalé et toutes les autorisations ont été examinées et verrouillées pour éviter tout abus supplémentaire. Cependant, certains membres de la communauté ont allégué que l'attaquant avait abusé des privilèges de modérateur pour interdire et réduire au silence des utilisateurs qui essayaient de signaler la violation, ce qui a pu retarder la réponse initiale de Ledger.
L'escroquerie impliquait un message affirmant une vulnérabilité nouvellement découverte dans les systèmes de Ledger et encourageait les utilisateurs à vérifier leurs phrases de récupération via un lien frauduleux. Les utilisateurs étaient ensuite invités à connecter leurs portefeuilles et à suivre de fausses instructions à l'écran, ce qui posait un risque sérieux de perte de fonds. Bien qu'il ne soit toujours pas clair si des utilisateurs sont tombés victimes de l'escroquerie, des captures d'écran des messages trompeurs ont été largement diffusées sur X.
Cette dernière tentative de phishing suit une tendance troublante. En avril, des escrocs ont envoyé des lettres physiques aux propriétaires de portefeuilles matériels Ledger, les exhortant à entrer leurs phrases de récupération via des codes QR sous le prétexte d'un contrôle de sécurité. Ces lettres arboraient une image de marque officielle et des références pour les faire paraître légitimes.
Certains destinataires ont spéculé que les envois étaient liés à une violation de données de juillet 2020, où les informations personnelles de plus de 270 000 clients de Ledger — y compris les noms, numéros de téléphone et adresses — ont été divulguées en ligne. L'année suivant la violation, plusieurs utilisateurs ont signalé avoir reçu de faux appareils Ledger équipés de logiciels malveillants. Dans l'ensemble, il semble que les clients de Ledger soient spécifiquement ciblés par des escrocs sophistiqués.
La mise à jour de Pectra introduit une faille dangereuse
Ce ne sont pas seulement les utilisateurs de Ledger qui doivent être prudents. La récente mise à niveau du réseau Pectra d'Ethereum, qui a été lancée le 7 mai, a introduit de nouvelles fonctionnalités puissantes destinées à améliorer la scalabilité et à renforcer la fonctionnalité des comptes intelligents. Cependant, elle a également révélé un nouveau vecteur d'attaque sérieux qui pourrait permettre aux hackers de vider les portefeuilles des utilisateurs en utilisant rien de plus qu'une signature off-chain.
Au cœur du problème se trouve l'EIP-7702, qui est une partie clé de la mise à niveau permettant aux utilisateurs de déléguer le contrôle de leurs comptes possédés de manière externe (EOAs) à un contrat intelligent en signant un message — sans avoir besoin de soumettre une transaction on-chain.
Ce changement permet aux attaquants d'exploiter des utilisateurs sans méfiance par le biais de tentatives de phishing ou d'applications fausses. Si un acteur malveillant obtient une signature valide, il peut utiliser la transaction SetCode (type 0x04) pour installer du code dans le portefeuille de la victime qui redirige les appels vers un contrat sous le contrôle de l'attaquant. De là, ils peuvent transférer de l'Éther ou des jetons hors du portefeuille sans que l'utilisateur n'autorise jamais une transaction typique. Des chercheurs en sécurité comme Arda Usman et Yehor Rudytsia ont confirmé que ce risque est immédiat et critique. Les contrats intelligents qui dépendent d'hypothèses héritées, comme les vérifications tx.origin, sont désormais vulnérables.
Ce qui rend cette attaque particulièrement dangereuse, c'est la facilité avec laquelle elle peut être déployée à travers des interactions off-chain ordinaires — messages Discord, sites Web de phishing ou faux DApps. Les interfaces de portefeuille qui ne montrent pas ou n'interprètent pas correctement le nouveau type de transaction sont particulièrement à risque, et les signatures peuvent même être réutilisées sur n'importe quelle chaîne compatible avec Ethereum en raison du potentiel pour des signatures chain_id = 0. Rudytsia a expliqué qu'à partir de maintenant, même les portefeuilles matériels sont vulnérables à la signature de messages de délégation malveillants.
Les utilisateurs sont priés de ne pas signer des messages qu'ils ne comprennent pas, en particulier ceux impliquant des nonces de compte ou des formats non reconnus. Les développeurs de portefeuilles doivent s'adapter rapidement en intégrant le parsing de signatures et des avertissements clairs pour les tentatives de délégation, car les messages activés par l'EIP-7702 contournent souvent les normes existantes telles que l'EIP-191 et l'EIP-712.
Bien que les portefeuilles multisig offrent plus de protection grâce à la nécessité de multiples approbations, les portefeuilles à clé unique doivent encore évoluer pour détecter ces nouvelles menaces. Avec l'EIP-7702, la mise à niveau Pectra a également inclus l'EIP-7251, augmentant le plafond de staking des validateurs à 2 048 Éther, et l'EIP-7691, qui améliore la scalabilité de la couche 2 en augmentant le nombre de blobs de données par bloc. Malheureusement, les conséquences involontaires du mécanisme de délégation s'avèrent déjà être une préoccupation majeure en matière de sécurité.
Le jeton Mobius frappé par une exploitation
Pendant ce temps, plus de 2,15 millions de dollars en actifs numériques ont été volés des contrats intelligents du Mobius Token (MBU) sur la chaîne BNB après une exploitation ciblée le 11 mai, selon la société de sécurité blockchain Cyvers Alerts. L'attaque a été exécutée avec précision, commençant quelques minutes après le déploiement d'un contrat intelligent malveillant. Cyvers a signalé cela comme suspect avant que l'exploitation n'ait eu lieu.
L'attaquant a initié l'exploitation en utilisant l'adresse du portefeuille 0xb32a53… à environ 07:33 UTC, seulement deux minutes après le déploiement du contrat malveillant. L'exploitation a ciblé un portefeuille victime identifié comme 0xb5252f… et a réussi à siphonner 28,5 millions de jetons MBU. Les jetons volés ont ensuite été rapidement convertis en stablecoins USDT, ce qui a entraîné une perte totale de 2 152 219,99 $. Cyvers a confirmé que l'attaquant a utilisé l'adresse du contrat 0x631adf… pour effectuer une série de transactions malveillantes.
La société de sécurité a qualifié l'exploitation de "critique", en raison de la logique contractuelle suspecte et du comportement de transaction anormal utilisé par le hacker. Pour l'instant, le portefeuille de l'attaquant reste actif, et les fonds volés ont été déposés sur Tornado Cash.
Cet exploit fait partie d'une tendance plus large d'escalade des vols de cryptomonnaies en 2025. Selon un rapport de la société de sécurité blockchain PeckShield, rien qu'en avril, près de 360 millions de dollars d'actifs cryptographiques ont été volés lors de 18 incidents de piratage majeurs. Cela représente une augmentation stupéfiante de 990 % des pertes par rapport à mars, lorsque seulement 33 millions de dollars ont été perdus à cause de piratages.
L'un des événements les plus graves qui a contribué au total d'avril a été un transfert non autorisé de 330 millions de dollars en Bitcoin, qui a ensuite été confirmé comme étant le résultat d'une attaque d'ingénierie sociale visant un résident américain âgé.
Dans l'ensemble, l'exploitation du Mobius Token sert de rappel frappant de l'urgence d'améliorer l'audit des contrats et les systèmes de détection des menaces en temps réel sur les plateformes DeFi.
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Les Hackers exploitent le compte modérateur de Ledger pour diffuser des liens de Phishing
Cette dernière attaque fait suite à des campagnes de phishing précédentes, y compris de fausses lettres de marque Ledger qui ont été envoyées aux clients en avril. La dernière mise à niveau Pectra d'Ethereum a également introduit une vulnérabilité dangereuse via EIP-7702, permettant des signatures off-chain qui pourraient permettre aux hackers de prendre le contrôle des portefeuilles sans confirmation de l'utilisateur. Cela a suscité de vives inquiétudes parmi les chercheurs en sécurité qui ont même qualifié la menace de critique. Sur la chaîne BNB, le Jeton Mobius (MBU) a subi un exploit de 2,15 millions de dollars lorsque un contrat intelligent malveillant a drainé des millions de jetons et les a convertis en stablecoins.
Les utilisateurs de Ledger de nouveau ciblés
Le fournisseur de portefeuille matériel Ledger a confirmé que son serveur Discord a été sécurisé après qu'un attaquant a compromis le compte d'un modérateur le 11 mai. L'attaquant l'a utilisé pour publier des liens malveillants visant à tromper les utilisateurs afin qu'ils révèlent leurs phrases de graine de portefeuille.
Selon Quintin Boatwright, membre de l'équipe Ledger, la violation a été rapidement contenue. Le compte de modérateur compromis a été supprimé, le bot malveillant a été supprimé, le site Web d'escroquerie a été signalé et toutes les autorisations ont été examinées et verrouillées pour éviter tout abus supplémentaire. Cependant, certains membres de la communauté ont allégué que l'attaquant avait abusé des privilèges de modérateur pour interdire et réduire au silence des utilisateurs qui essayaient de signaler la violation, ce qui a pu retarder la réponse initiale de Ledger.
L'escroquerie impliquait un message affirmant une vulnérabilité nouvellement découverte dans les systèmes de Ledger et encourageait les utilisateurs à vérifier leurs phrases de récupération via un lien frauduleux. Les utilisateurs étaient ensuite invités à connecter leurs portefeuilles et à suivre de fausses instructions à l'écran, ce qui posait un risque sérieux de perte de fonds. Bien qu'il ne soit toujours pas clair si des utilisateurs sont tombés victimes de l'escroquerie, des captures d'écran des messages trompeurs ont été largement diffusées sur X.
Cette dernière tentative de phishing suit une tendance troublante. En avril, des escrocs ont envoyé des lettres physiques aux propriétaires de portefeuilles matériels Ledger, les exhortant à entrer leurs phrases de récupération via des codes QR sous le prétexte d'un contrôle de sécurité. Ces lettres arboraient une image de marque officielle et des références pour les faire paraître légitimes.
Certains destinataires ont spéculé que les envois étaient liés à une violation de données de juillet 2020, où les informations personnelles de plus de 270 000 clients de Ledger — y compris les noms, numéros de téléphone et adresses — ont été divulguées en ligne. L'année suivant la violation, plusieurs utilisateurs ont signalé avoir reçu de faux appareils Ledger équipés de logiciels malveillants. Dans l'ensemble, il semble que les clients de Ledger soient spécifiquement ciblés par des escrocs sophistiqués.
La mise à jour de Pectra introduit une faille dangereuse
Ce ne sont pas seulement les utilisateurs de Ledger qui doivent être prudents. La récente mise à niveau du réseau Pectra d'Ethereum, qui a été lancée le 7 mai, a introduit de nouvelles fonctionnalités puissantes destinées à améliorer la scalabilité et à renforcer la fonctionnalité des comptes intelligents. Cependant, elle a également révélé un nouveau vecteur d'attaque sérieux qui pourrait permettre aux hackers de vider les portefeuilles des utilisateurs en utilisant rien de plus qu'une signature off-chain.
Au cœur du problème se trouve l'EIP-7702, qui est une partie clé de la mise à niveau permettant aux utilisateurs de déléguer le contrôle de leurs comptes possédés de manière externe (EOAs) à un contrat intelligent en signant un message — sans avoir besoin de soumettre une transaction on-chain.
Ce changement permet aux attaquants d'exploiter des utilisateurs sans méfiance par le biais de tentatives de phishing ou d'applications fausses. Si un acteur malveillant obtient une signature valide, il peut utiliser la transaction SetCode (type 0x04) pour installer du code dans le portefeuille de la victime qui redirige les appels vers un contrat sous le contrôle de l'attaquant. De là, ils peuvent transférer de l'Éther ou des jetons hors du portefeuille sans que l'utilisateur n'autorise jamais une transaction typique. Des chercheurs en sécurité comme Arda Usman et Yehor Rudytsia ont confirmé que ce risque est immédiat et critique. Les contrats intelligents qui dépendent d'hypothèses héritées, comme les vérifications tx.origin, sont désormais vulnérables.
Ce qui rend cette attaque particulièrement dangereuse, c'est la facilité avec laquelle elle peut être déployée à travers des interactions off-chain ordinaires — messages Discord, sites Web de phishing ou faux DApps. Les interfaces de portefeuille qui ne montrent pas ou n'interprètent pas correctement le nouveau type de transaction sont particulièrement à risque, et les signatures peuvent même être réutilisées sur n'importe quelle chaîne compatible avec Ethereum en raison du potentiel pour des signatures chain_id = 0. Rudytsia a expliqué qu'à partir de maintenant, même les portefeuilles matériels sont vulnérables à la signature de messages de délégation malveillants.
Les utilisateurs sont priés de ne pas signer des messages qu'ils ne comprennent pas, en particulier ceux impliquant des nonces de compte ou des formats non reconnus. Les développeurs de portefeuilles doivent s'adapter rapidement en intégrant le parsing de signatures et des avertissements clairs pour les tentatives de délégation, car les messages activés par l'EIP-7702 contournent souvent les normes existantes telles que l'EIP-191 et l'EIP-712.
Bien que les portefeuilles multisig offrent plus de protection grâce à la nécessité de multiples approbations, les portefeuilles à clé unique doivent encore évoluer pour détecter ces nouvelles menaces. Avec l'EIP-7702, la mise à niveau Pectra a également inclus l'EIP-7251, augmentant le plafond de staking des validateurs à 2 048 Éther, et l'EIP-7691, qui améliore la scalabilité de la couche 2 en augmentant le nombre de blobs de données par bloc. Malheureusement, les conséquences involontaires du mécanisme de délégation s'avèrent déjà être une préoccupation majeure en matière de sécurité.
Le jeton Mobius frappé par une exploitation
Pendant ce temps, plus de 2,15 millions de dollars en actifs numériques ont été volés des contrats intelligents du Mobius Token (MBU) sur la chaîne BNB après une exploitation ciblée le 11 mai, selon la société de sécurité blockchain Cyvers Alerts. L'attaque a été exécutée avec précision, commençant quelques minutes après le déploiement d'un contrat intelligent malveillant. Cyvers a signalé cela comme suspect avant que l'exploitation n'ait eu lieu.
L'attaquant a initié l'exploitation en utilisant l'adresse du portefeuille 0xb32a53… à environ 07:33 UTC, seulement deux minutes après le déploiement du contrat malveillant. L'exploitation a ciblé un portefeuille victime identifié comme 0xb5252f… et a réussi à siphonner 28,5 millions de jetons MBU. Les jetons volés ont ensuite été rapidement convertis en stablecoins USDT, ce qui a entraîné une perte totale de 2 152 219,99 $. Cyvers a confirmé que l'attaquant a utilisé l'adresse du contrat 0x631adf… pour effectuer une série de transactions malveillantes.
La société de sécurité a qualifié l'exploitation de "critique", en raison de la logique contractuelle suspecte et du comportement de transaction anormal utilisé par le hacker. Pour l'instant, le portefeuille de l'attaquant reste actif, et les fonds volés ont été déposés sur Tornado Cash.
Cet exploit fait partie d'une tendance plus large d'escalade des vols de cryptomonnaies en 2025. Selon un rapport de la société de sécurité blockchain PeckShield, rien qu'en avril, près de 360 millions de dollars d'actifs cryptographiques ont été volés lors de 18 incidents de piratage majeurs. Cela représente une augmentation stupéfiante de 990 % des pertes par rapport à mars, lorsque seulement 33 millions de dollars ont été perdus à cause de piratages.
L'un des événements les plus graves qui a contribué au total d'avril a été un transfert non autorisé de 330 millions de dollars en Bitcoin, qui a ensuite été confirmé comme étant le résultat d'une attaque d'ingénierie sociale visant un résident américain âgé.
Dans l'ensemble, l'exploitation du Mobius Token sert de rappel frappant de l'urgence d'améliorer l'audit des contrats et les systèmes de détection des menaces en temps réel sur les plateformes DeFi.