Les rapports des dernières semaines détaillent que les mauvais acteurs ciblent deux projets de pièces de confidentialité, Monero et Zcash, ce qui ajoute aux inquiétudes concernant le taux croissant d’incidents de sécurité impliquant des réseaux blockchain. De tels incidents, ainsi que les attaques répétées de 51% sur le réseau Ethereum Classic ou la violation du portefeuille Electrum, suggèrent que les criminels sont de plus en plus sophistiqués.
Pourtant, les mauvais acteurs utilisent parfois des méthodes moins sophistiquées et semblent s’en tirer
Par exemple, la faille de sécurité ciblant les utilisateurs de Bitcoin Revolution est apparue après que des escrocs ont créé une fausse URL d’application Android Mymonero.
Dans un article sur Reddit exhortant les utilisateurs à ignorer le faux lien, les développeurs de Monero ont affirmé que c’était le travail du «même groupe d’escrocs qui ciblent Myetherwallet depuis au moins 2016.» Selon ces développeurs, „chaque fois qu’il est signalé (le faux Myetherwallet) et retiré, ils parviennent à remonter.“
Expliquant pourquoi ils ont émis une alerte, l‘ équipe XMR Core estime qu’il est «très probable que l’application puisse être utilisée pour voler les fonds de l’utilisateur» et exhorte donc les utilisateurs à «signaler la fausse adresse Web à Google».
Pendant ce temps, un autre crypto axé sur la confidentialité, le projet Zcash, semble avoir été également ciblé après que des attaquants aient créé un faux compte Twitter, selon Tim Ismilyaev, PDG et fondateur de Mana Security.
Les criminels ciblent les pièces de confidentialité: comment éviter de télécharger de fausses applications de portefeuille
Selon Ismilyaev, «le compte (qui compte désormais plus de 6000 abonnés) publie même des informations sur les fausses distributions de la crypto et contient des adresses Ethereum pour la collecte de fonds.»
Expliquant pourquoi les pièces de confidentialité sont apparemment ciblées maintenant, le fondateur de Mana Security dit que pour les criminels, c’est plus logique que de viser des pièces plus grosses.
«La raison principale en est la simplicité pour accéder aux 3 premières positions dans les résultats de recherche. C’est beaucoup plus difficile d’obtenir les mêmes places pour Bitcoin et Ethereum », explique Ismilyaev.
Pourtant, le PDG blâme également le Google Play Store, qui, selon lui, ne «vérifie pas manuellement chaque mise à jour d’applications comme Apple le fait pour son magasin».
En conséquence, la boutique de Google „contient au moins des dizaines de milliers d’applications contrefaites“. Il en coûte moins de 25 $ «à un attaquant pour publier un nouveau faux portefeuille» après «avoir passé quelques jours à créer l’application».
Il semble également que les attaquants ciblent les utilisateurs qui «ne veulent pas prendre de mesures supplémentaires pour vérifier les portefeuilles de plusieurs sources». Des experts en sécurité comme Ismilyaev disent qu ‚«avant d’installer un nouveau portefeuille crypté», il serait sage de «trouver des références sur le portefeuille en particulier sur Internet».
D’autres mesures que les nouveaux utilisateurs peuvent prendre pour se protéger comprennent les portefeuilles à triple vérification. «Les développeurs publient généralement des portefeuilles recommandés à utiliser. En outre, les utilisateurs peuvent trouver des critiques de portefeuilles spécifiques sur Internet: tous les bons portefeuilles ont une poignée de critiques sur youtube / blog publiées en 2018/2019 », explique Ismalyaev.
Pendant ce temps, à mesure que les entreprises technologiques d’application de la loi et de cybersécurité progressent dans le domaine de l’analyse et du traçage de la blockchain, il est probable que les transactions sur les réseaux axés sur la confidentialité deviennent traçables. Tout récemment, Ciphertrace a affirmé disposer désormais d’outils capables de retracer les transactions Monero alors même que d’autres experts doutent de cette affirmation.
Quel que soit le cas, Ismilyaev exhorte les acheteurs de crypto à ne pas prendre de risques lors de l’acquisition de pièces telles que Monero.
«Achetez des crypto-monnaies par lots – pour minimiser la probabilité d’acheter des fonds volés. Limitez le premier achat d’une crypto-monnaie à 10 $ et retirez la pièce à n’importe quel échange crypto. Si cela fonctionne bien, achetez le reste des pièces. »
Malgré l’échec présumé de Google Play à signaler les fausses applications, le PDG affirme que les utilisateurs peuvent toujours vérifier les installations, les évaluations et les critiques d’une application pour obtenir des conseils.
«C’est une bonne pratique d’installer uniquement des applications avec plus de 100 000 installations, une note de quatre étoiles et plus de 1000 avis», affirme Ismaliyaev.