Rapport 2025 sur la criminalité liée aux crypto-actifs : Découvrez les principales tendances qui ont façonné le marché illicite des crypto-actifs au cours de l'année écoulée. Lire le rapport

Solutions
Apprendre
Entreprise
Demander une démonstration
en
Recherche
Recherche
Enquêtes TRM
24 mars 2022

Anatomie d'une escroquerie par hameçonnage NFT

Perspectives TRMEnquêtes TRM
Anatomie d'une escroquerie par hameçonnage NFT

Alors que les NFT continuent de gagner en popularité, TRM a suivi l'émergence d'une variété d'escroqueries liées à ce type de produits : les "rug pulls", les faux sites de frappe de NFT, l'usurpation d'identité de l'assistance clientèle, les escroqueries aux enchères, les fausses offres et les NFT de contrefaçon.

Ce billet détaille un type d'escroquerie particulièrement insidieux en pleine expansion : le contrat "bait-and-switch" (appât et échange). Cette forme d'hameçonnage incite les utilisateurs à signer un contrat, généralement sous le prétexte d'un transfert de propriété légitime, qui confère ensuite le contrôle de l'ensemble du portefeuille de l'utilisateur à l'attaquant.

Les enquêteurs de TRM ont décortiqué une escroquerie par hameçonnage récente et collaborent avec les forces de l'ordre pour en identifier les auteurs. Au cours de notre enquête, nous avons identifié plusieurs caractéristiques distinctives qui devraient servir de signaux d'alarme, à la fois pour les utilisateurs de détail qui tentent de négocier des NFT en toute sécurité et pour les institutions et les plateformes de crypto-monnaie qui cherchent à repérer et à enquêter sur les transferts suspects.

En bref, voici ce qui s'est passé (cliquez sur les images pour les agrandir) :

Image : Graphique TRM visualisant les flux d'attaquants

Voyons comment s'est déroulée cette escroquerie par hameçonnage de la NFT, étape par étape :

1. L'attaquant met en place son portefeuille. Il initialise le portefeuille d'attaque par un dépôt, souvent par l'intermédiaire d'un mixeur, tel que Tornado.cash. Souvent, le dépôt initial sur le portefeuille d'attaque est effectué par l'attaquant lui-même. Il s'agit parfois de tester le portefeuille, de tester le contrat ou, selon l'actif, d'initialiser le portefeuille. Par exemple, un portefeuille TRON nécessite un solde de TRX avant de pouvoir fonctionner. Le Tether peut être envoyé à une adresse de portefeuille sans TRX, mais il n'apparaîtra pas dans le solde et ne pourra pas être dépensé tant que le propriétaire n'aura pas mis du TRX dans le portefeuille.

Image : Graphique TRM visualisant la première transaction de l'attaquant

2. L'attaquant crée un contrat. Le contrat d'appât et de substitution comprend des fonctions de code telles que "atomicMatch_" et "setApprovalForAll" qui peuvent permettre à un attaquant de transférer tous les jetons des victimes à partir de leur portefeuille.

3. L'attaquant déploie un contrat. Pour s'assurer qu'il fonctionne, il teste son propre contrat en l'appelant - dans ce cas, en signant une transaction à partir du portefeuille d'attaque. Ce contrat peut prendre différentes formes. Dans les vols les plus simples, le contrat invite les victimes à approuver la vente privée (transfert) d'un NFT vers le portefeuille de l'attaquant ; prix : 0 ETH.

Image (gauche) : un exemple de contrat approuvant l'accès aux tokens peu avant leur transfert ; Image (droite) : Les invites de MetaMask apparaissent lorsqu'une dApp vous demande de connecter votre portefeuille ou de signer un contrat.

4. L'attaquant hameçonne la victime. L'hameçonnage proprement dit peut prendre différentes formes. Emails, DM dans les applications de messagerie, pop-ups sur Discord, Telegram et autres forums, publicités dans les portefeuilles via MetaMask, faux sites avec des connexions aux portefeuilles, usurpation de l'identité du personnel d'assistance sur les marchés NFT. Au final, la victime est toujours invitée à fournir des clés privées ou à signer des contrats d'approbation. Ces attaques réussissent parce que les acheteurs et les vendeurs sont contraints d'agir rapidement pour récupérer des NFT de valeur. Dans le cas présent, l'attaquant a incité la victime à initier une transaction de pair à pair en signant... vous l'avez deviné - un contrat d'appât et d'échange.

Image : Graphique TRM des comptes de la victime et de l'agresseur

5. L'attaquant vole le NFT. La victime peut perdre davantage. Certains contrats de phishing autorisent l'attaquant à transférer non seulement le NFT, mais aussi tous les actifs de la victime. Cela semble évident sur la blockchain. L'attaquant transfère le NFT, mais ne paie pas la victime.

6. L'attaquant retourne le NFT sur un marché légitime. Les actifs fongibles (comme l'ETH) peuvent être blanchis et échangés contre des devises, ce qui n'est pas le cas des NFT. Dans la plupart des cas, l'attaquant doit donc convertir le bien volé en quelque chose qu'il peut utiliser.

Image : Graphique TRM de la vente de NFT volés sur le marché libre

7. L'attaquant est payé en ETH (dans cet exemple). Un acheteur sur le marché achète le NFT en échange d'ETH - sans savoir que le NFT a été transféré pour rien depuis le portefeuille de la victime peu avant d'être vendu.

8. L'attaquant blanchit ses revenus illicites. Après avoir été payé en ETH, l'attaquant transfère les recettes vers des portefeuilles utilisés pour le blanchiment d'argent. Ces portefeuilles comportent souvent plusieurs dépôts d'ETH provenant des marchés NFT et un ou deux retraits importants de fonds consolidés.

9. L'attaquant encaisse. L'encaissement suit les voies habituelles - souvent un mélange de mixers, d'échanges à haut risque, de plates-formes p2p, de transactions et de sauts de chaîne, et de conversion en stablecoins.

Image : saut de transaction dans l'espoir de contourner les contrôles effectués par les institutions
Image : blanchiment d'argent par le biais d'un service de mixeur

Que pouvez-vous faire pour éviter d'être victime d'un hameçonnage ?

Les contrats sont compliqués. Le comportement humain ne l'est pas. De nombreux utilisateurs n'analysent pas les détails d'un contrat avant de signer une transaction, en particulier dans le cadre d'une vente aux enchères ou d'un marché où la rapidité ou la lenteur peut faire la différence entre remporter une enchère ou perdre un NFT potentiellement précieux.

Quelle que soit la manière dont l'escroquerie par hameçonnage commence, qu'il s'agisse d'un DM, d'un courriel, d'une fenêtre contextuelle ou d'une publicité, elle se termine par la signature par la victime d'un contrat donnant à l'attaquant l'accès à son portefeuille.

Alors que vous courez après les singes, les punks, les blocs, les gribouillis, les poissons, les chats et les terres, voici quelques suggestions pour vous protéger, vous et vos Actifs Numériques:

  • Soyez attentif aux signaux d'alerte tels que des appels contractuels inhabituels ou inattendus. Ne signez jamais une transaction en laquelle vous n'avez pas confiance à 100 %. Le simple fait de signer une transaction peut permettre à un voleur d'accéder à tous vos NFT et crypto-monnaies.
  • Ne cliquez jamais sur un lien, un bouton ou une pièce jointe lorsqu'un contrat semble "échouer" ou "rencontrer des problèmes". Ne cliquez jamais sur des liens figurant dans des courriels, sauf si vous les vérifiez par un canal parallèle ou si vous trouvez la même information en effectuant une recherche parallèle sur Internet.
  • Utilisez un portefeuille séparé pour vos NFT ou créez un portefeuille "brûleur" pour tester les interactions avec des contrats dont vous n'êtes pas sûr qu'ils soient sûrs.
  • Consultez l'historique d'un NFT avant d'acheter ; vous pourriez acheter des biens volés.
  • Lors de l'achat, examinez la contrepartie. En examinant ses transactions, vous constaterez peut-être qu'elle a répété le même schéma consistant à acquérir un NFT "gratuitement" et à le revendre sur le marché libre.
  • Vérifiez le prix : s'il est beaucoup plus bas que les prix pratiqués sur les marchés légitimes, il s'agit probablement d'une escroquerie.
  • Vérifiez l'adresse et le lieu où le NFT a été frappé.
  • Insérez l'adresse du vendeur dans une recherche sur Twitter ou sur un blog et voyez si elle s'enflamme.
  • Vérifiez vos approbations de jetons actuelles sur Etherscan ici. Révoquez ceux dont vous n'avez plus besoin.
  • Vérifiez quels sites sont connectés à votre portefeuille MetaMask en cliquant sur le bouton à 3 points. Supprimez ceux que vous n'utilisez plus (voir les images ci-dessous).
  • Méfiez-vous des fausses offres, des cadeaux, des parachutages, de l'assistance technique et des sites de frappe de monnaie.
  • Désactivez vos DM Discord. L'hameçonnage par ping fait fureur.
  • Et, comme toujours, ne donnez jamais vos clés privées ou vos phrases d'amorçage à qui que ce soit, pour quelque raison que ce soit.
Image : Vérification des sites connectés dans MetaMask

Comment l'économie cryptographique peut-elle lutter contre ces exploits à plus grande échelle ?

L'équipe Global Investigations de TRM suit activement et enquête sur les menaces cryptocriminelles, les acteurs de la menace et les événements tels que l'exploit décrit ci-dessus. Les portefeuilles des attaquants et d'autres portefeuilles liés à des escroqueries sont attribués dans les outils de TRM, ce qui signifie que les utilisateurs des outils de surveillance des transactions et de criminalistique de TRM seront automatiquement informés de toute exposition à d'éventuels escrocs.

Cela permet aux entreprises utilisatrices d'outils de TRM - notamment les bourses de crypto-monnaies, les places de marché de NFT, les prestataires de services de conservation et les institutions financières exposées aux échanges de crypto-monnaies et de NFT - d'identifier les adresses et les actifs liés à la fraude aux NFT dès qu'ils entrent en contact avec leurs plateformes. Grâce à ces mêmes outils, les régulateurs et les enquêteurs des forces de l'ordre peuvent identifier plus efficacement les portefeuilles des attaquants et les comptes des victimes, tracer les NFT volés et retrouver le produit des ventes de NFT volés.

Dans des articles précédents, TRM Insights a examiné les jetons non fongibles (NFT) sous différents angles. Intéressé par le paysage réglementaire, les tractions ou les considérations de sécurité pour les jetons non fongibles ? Consultez les articles en lien. Vous voulez en savoir plus sur les risques et les opportunités que présentent les NFT ? Cliquez sur l'épisode sur TRM Talks. Enfin, apprenez-en plus sur l'évaluation des risques liés aux NFT grâce à TRM Labs.

A propos de l'auteur :

Chris Hoffmeister est enquêteur blockchain chez TRM Labsoù il travaille avec des institutions, des régulateurs et des partenaires des forces de l'ordre pour détecter, enquêter et prévenir les escroqueries, les fraudes, le blanchiment d'argent et d'autres crimes financiers basés sur les crypto-monnaies. Avant de rejoindre TRM, Chris a travaillé en tant qu'analyste criminel pour Homeland Security Investigations, où il a développé et supervisé le programme de renseignement sur les crypto-monnaies de l'agence et soutenu des enquêtes criminelles multi-juridictionnelles et transfrontalières. Il est titulaire de plusieurs certifications en matière de crypto-monnaies et de crimes financiers et a obtenu une maîtrise en études de sécurité à l'université de Georgetown.

A propos de TRM Labs

TRM propose le site blockchain intelligence pour aider les institutions financières, les entreprises de crypto-monnaies et les organismes publics à détecter, enquêter et gérer la fraude et la criminalité financière liées aux crypto-monnaies. La plateforme de gestion des risques de TRM comprend des solutions pour la surveillance des transactions et le filtrage des portefeuilles, l'évaluation des risques des entités - y compris la diligence raisonnable VASP - et la traçabilité de la source et de la destination des fonds. Ces outils permettent à un nombre croissant d'organisations dans le monde entier d'adopter en toute sécurité les transactions, produits et partenariats liés aux crypto-monnaies.

TRM est basé à San Francisco, CA, et recrute dans les domaines de l'ingénierie, du produit, des ventes et de la science des données. Pour en savoir plus, visitez le site www.trmlabs.com.

Pour signaler une piste à Global Investigations, envoyez-nous un courriel à investigations@trmlabs.com.

Vous voulez plus de contenu comme celui-ci ?

Il s'agit d'un texte à l'intérieur d'un bloc div.
Abonnez-vous et restez au courant de nos idées
flèche vers la droite
Décembre 20, 2021

TRM Talks: Risques et opportunités de la NFT

flèche vers la droite
1er mars 2022

Notes de la toile noire : Analyse des discussions sur l'Ukraine dans les principaux forums

flèche vers la droite
24 mars 2022

L'outil gratuit de dépistage des sanctions de TRM est en ligne

Accédez à notre couverture de TRON, Solana et 23 autres blockchains

Remplissez le formulaire pour parler à notre équipe des services professionnels d'investigation.

Services d'intérêt
Sélectionner
Transaction Monitoring/Wallet Screening
Services de formation
Services de formation
 
En cliquant sur le bouton ci-dessous, vous acceptez la politique de confidentialité deTRM Labs .
Nous vous remercions ! Votre demande a bien été reçue !
Oups ! Un problème s'est produit lors de l'envoi du formulaire.
Aucun élément n'a été trouvé.
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Rapport 2025 sur la criminalité liée aux cryptomonnaies : Découvrez comment le paysage de la criminalité liée aux cryptomonnaies a évolué au cours de l'année écoulée.
DIG IN NOW →
Câbles de fibre optique bleu vif sur fond bleu foncé, avec des éclairs d'étincelles blanches intercalés.
RAPPORT
La technologie de l'IA devient de plus en plus sophistiquée, tout comme les façons dont les criminels l'utilisent. Découvrez ce que fait TRM pour contrer la criminalité basée sur l'IA.
COMBATTRE AI AVEC AI →
Illustration de la criminalité liée aux crypto-monnaies sur un fond bleu foncé comportant des symboles de blockchain bleu vif et blanc (notamment Bitcoin et TRON), des graphiques financiers et une icône de pirate informatique.
RAPPORT
Le paysage de la criminalité liée aux cryptomonnaies a connu d'importants changements en 2024, notamment une diminution des volumes illicites. Pour en savoir plus, cliquez ici.
PRÉVISUALISATION DU RAPPORT SUR LES CRIMES CRYPTOGRAPHIQUES →
Tableau en liège avec les photos d'identité de Heather "Razzlekhan" Morgan et d'Ilya Lichtenstein, avec leurs noms écrits à la main sous leurs photos, et des punaises sur le tableau reliées par une ficelle rouge.
DOCUMENTAIRE
Regardez "Biggest Heist Ever" en streaming et découvrez les coulisses de l'équipe TRM.
VÉRIFIER →
Un cercle bidimensionnel bleu clair (représentant un stablecoin) flottant sur des lignes courbes bleu foncé et blanches (représentant les vagues), avec de fines lignes pointillées bleues et blanches au-dessus de la tête pour représenter le vent.
RAPPORT
Explorer les macro-tendances et les développements juridictionnels qui ont façonné le paysage politique mondial des crypto-monnaies en 2024.
LIRE LE RAPPORT →
Illustration sur fond bleu foncé représentant un insecte et un point d'exclamation (représentant une activité illicite), un globe avec des points d'épingle, une pièce de monnaie et un diagramme à barres.
RAPPORT
Voir les pays ayant les taux les plus élevés d'adoption des crypto-monnaies - et les taux les plus élevés d'exposition aux activités illicites
LIRE LE RAPPORT MAINTENANT →
Un rectangle bleu avec des formes géométriques en arrière-plan et des points reliés par des lignes fines au premier plan, représentant les connexions sur la chaîne bock.
LIVRE BLANC
Découvrez les quatre façons dont la gestion des risques technologiques améliore la conformité à l'ère moderne de l'application des sanctions.
Télécharger le livre blanc →
Illustration d'un graphique pig butchering présentant divers logos de crypto-monnaies dans chaque section, avec un insigne de shérif bleu vif en haut, symbolisant le rôle des forces de l'ordre dans la lutte contre la fraude.
ÉTUDE DE CAS
Découvrez comment le procureur adjoint Erin West et le groupe de travail REACT luttent contre la criminalité organisée. pig butchering
REGARDER LA VIDÉO →
Illustration d'un œil, d'une tête de mort et d'un diagramme circulaire sur fond bleu clair, symbolisant les dangers des escroqueries aux cryptomonnaies et de la fraude financière.
RAPPORT
Explorez les tendances clés qui ont façonné l'économie cryptographique illicite en 2023.
OBTENIR LE RAPPORT →
Photographie en gros plan du Capitole des États-Unis avec de la neige en train de tomber
BLOG
Découvrez pourquoi les crypto-monnaies sont devenues un enjeu central de l'élection américaine de 2024.
LIRE LE POST
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Plongez dans l'écosystème russophone des crypto-monnaies illicites
LIRE LE RAPPORT COMPLET
Schéma d'un porc avec le bouclier des forces de l'ordre en surimpression
Étude de cas
En savoir plus sur la façon dont le groupe de travail REACT s'attaque aux problèmes suivants pig butchering
Lire l'étude de cas
Illustration d'une poupée russe jouet contenant une attaque Rançonlogiciel à l'intérieur de la plus petite.
RAPPORT
Explorer les récentes tendances Rançonlogiciel dans l'écosystème cryptographique russophone, y compris le rôle des groupes Rançonlogiciel dans la cybercriminalité mondiale.
OBTENIR LE RAPPORT
Personne tapant sur un clavier d'ordinateur portable avec un filtre bleu foncé.
BLOG POST
Découvrez la vague d'attaques Rançonlogiciel de l'été 2024 et la prolifération de RaaS dans le monde.
LIRE LE POST
RAPPORT
En savoir plus sur le rôle des crypto-monnaies dans le marché international des précurseurs de drogues de synthèse
OBTENIR LE RAPPORT