Les attaques de social engineering menacent la sécurité des actifs chiffrés, les utilisateurs de Coinbase étant les principales victimes

Ces dernières années, les attaques d'ingénierie sociale sont devenues une menace majeure pour la sécurité des actifs des utilisateurs dans le domaine du chiffrement. Depuis 2025, des incidents de fraude par ingénierie sociale ciblant les utilisateurs d'une plateforme de trading ont été fréquents, suscitant une large attention. Les discussions dans la communauté montrent que ces événements ne sont pas des cas isolés, mais plutôt un type d'escroquerie caractérisé par sa continuité et son organisation.

Le 15 mai, une plateforme d'échange a publié un communiqué confirmant les précédentes spéculations sur l'existence de "taupes" au sein de la plateforme. Il est rapporté que le ministère de la Justice américain a lancé une enquête sur cet incident de fuite de données.

Cet article révélera les principales méthodes utilisées par les escrocs en rassemblant les informations fournies par plusieurs chercheurs en sécurité et victimes, et examinera comment y faire face efficacement du point de vue des plateformes et des utilisateurs.

Analyse historique

Le détective en chaîne Zach a déclaré dans une mise à jour de communication du 7 mai : "Au cours de la seule semaine dernière, plus de 45 millions de dollars ont été volés aux utilisateurs d'une plateforme d'échange en raison de fraudes d'ingénierie sociale."

Au cours de l'année écoulée, Zach a plusieurs fois révélé des incidents de vol d'utilisateurs sur cette plateforme, certains victimes ayant perdu jusqu'à plusieurs millions de dollars. En février 2025, il a publié une enquête détaillée affirmant que, seulement entre décembre 2024 et janvier 2025, le montant total des fonds volés à cause de fraudes similaires avait dépassé 65 millions de dollars, et a révélé que cette plateforme fait face à une grave crise de "fraude sociale", ces attaques continuant à porter atteinte à la sécurité des actifs des utilisateurs à un rythme annuel de 300 millions de dollars. Il a également souligné :

• Les groupes qui mènent ce type d'escroquerie se divisent principalement en deux catégories : d'une part, des attaquants de bas niveau issus de cercles spécifiques, et d'autre part, des organisations criminelles en ligne basées en Inde ;
• Les cibles des attaques des groupes de fraude sont principalement des utilisateurs américains, avec des méthodes d'opération standardisées et un processus de discours mature ;
• Le montant des pertes réelles peut être bien supérieur aux statistiques visibles sur la chaîne, car il n'inclut pas les informations non publiées telles que les tickets de service client et les dossiers de plaintes à la police qui ne peuvent pas être obtenus.

Méthodes de fraude

Lors de cet incident, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits d'accès d'un employé interne pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. L'objectif final des fraudeurs est d'utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à effectuer un virement.

Ce type d'attaque a changé la méthode traditionnelle de phishing "à la volée" pour se tourner vers "les frappes ciblées", ce qui peut être considéré comme une fraude sociale "sur mesure". Le chemin typique de l'infraction est le suivant :

1. Contacter les utilisateurs en tant que "service client officiel"

Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en disant que leur "compte a été victime d'une connexion illégale" ou "une anomalie de retrait a été détectée", créant ainsi un climat d'urgence. Ils envoient ensuite de faux courriels de phishing ou des SMS, contenant de faux numéros de ticket ou des liens vers des "procédures de récupération", et incitent les utilisateurs à agir. Ces liens peuvent pointer vers des interfaces clonées de la plateforme, et peuvent même envoyer des courriels semblant provenir d'un domaine officiel, certains courriels utilisant des techniques de redirection pour contourner les protections de sécurité.

2. Guider les utilisateurs à télécharger un portefeuille spécifique

Les escrocs inciteront les utilisateurs à transférer des fonds vers un "portefeuille sécurisé" sous prétexte de "sécurité des actifs", et aideront également les utilisateurs à installer des portefeuilles spécifiques, puis les guideront pour transférer les actifs initialement hébergés sur la plateforme vers un nouveau portefeuille créé.

3. Inciter les utilisateurs à utiliser les mots de passe fournis par les escrocs

Contrairement aux "escroqueries par phishing de mots de passe mnémotechniques" traditionnelles, les escrocs fournissent directement un ensemble de mots de passe mnémotechniques générés par leurs soins, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".

4. Les escrocs volent des fonds

Les victimes, dans un état de stress et d'anxiété tout en faisant confiance au "service client", tombent facilement dans le piège. Pour elles, le nouveau portefeuille "fourni par l'officiel" semble naturellement plus sûr que l'ancien portefeuille "suspecté d'avoir été piraté". Le résultat est qu'une fois que les fonds sont transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les retirer. Le principe "non contrôlé par vous, non possédé par vous" est à nouveau prouvé de manière sanglante.

De plus, certains courriels d’hameçonnage affirment qu'« en raison de la décision du recours collectif, la plateforme migrera entièrement vers des portefeuilles auto-dépositaires » et demandent aux utilisateurs de terminer la migration des actifs d’ici le 1er avril. Sous la pression du temps serré et de l’allusion psychologique des « instructions officielles », il est plus facile pour les utilisateurs de coopérer à l’opération.

Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :

• Chaîne d'outils de fraude améliorée : les escrocs utilisent des systèmes spécifiques pour falsifier les numéros d'appel et simuler des appels de service client officiels. Lors de l'envoi de courriels de phishing, ils se servent de robots sur les plateformes sociales pour usurper des adresses électroniques officielles, accompagnés d'un "guide de récupération de compte" pour inciter au transfert.
• Cible précise : les escrocs s'appuient sur des données utilisateur volées achetées via des canaux de communication et le dark web, ciblant principalement les utilisateurs de la région américaine. Ils utilisent même l'IA pour traiter les données volées, segmentant et réorganisant les numéros de téléphone, générant des fichiers texte en masse, puis envoyant des SMS d'escroquerie via des logiciels de piratage.
• Processus de tromperie cohérent : des appels téléphoniques, des SMS aux e-mails, les chemins de l'escroquerie sont généralement sans couture, les formulations de phishing courantes incluent "demande de retrait reçue sur le compte", "mot de passe réinitialisé", "connexion anormale au compte", etc., incitant continuellement les victimes à effectuer une "vérification de sécurité" jusqu'à ce que le transfert de portefeuille soit terminé.

Analyse sur chaîne

Nous avons analysé certaines adresses de fraudeurs et constaté que ces fraudeurs possédaient de solides capacités d'opération sur la chaîne. Voici quelques informations clés :

Les cibles des attaques des fraudeurs couvrent une variété d'actifs détenus par les utilisateurs, avec une période d'activité concentrée entre décembre 2024 et mai 2025. Les actifs ciblés sont principalement le BTC et l'ETH. Le BTC est actuellement la principale cible des fraudes, avec plusieurs adresses réalisant des profits uniques allant jusqu'à plusieurs centaines de BTC, chaque transaction valant plusieurs millions de dollars.

Après l'obtention des fonds, les escrocs utilisent rapidement un processus de nettoyage pour échanger et transférer les actifs, le modèle principal est le suivant :

• Les actifs de type ETH sont souvent échangés rapidement contre DAI ou USDT via un certain DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, certains actifs étant envoyés vers des plateformes de trading centralisées ;

• BTC est principalement transféré sur Ethereum via des ponts inter-chaînes, puis échangé contre DAI ou USDT, afin d'éviter les risques de traçage.

Plusieurs adresses de fraude restent dans un état de "repos" après avoir reçu des DAI ou des USDT, et n'ont pas encore été transférées.

Pour éviter que votre adresse n'interagisse avec des adresses suspectes et ainsi faire face au risque de gel des actifs, il est conseillé aux utilisateurs de procéder à une détection des risques de l'adresse cible avant de réaliser une transaction, afin d'éviter efficacement les menaces potentielles.

Mesures de réponse

plateforme

Les principales méthodes de sécurité actuelles sont davantage des protections au niveau "technique", tandis que les arnaques par ingénierie sociale contournent souvent ces mécanismes, ciblant directement les vulnérabilités psychologiques et comportementales des utilisateurs. Par conséquent, il est recommandé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité pour établir une ligne de défense en matière de sécurité "orientée vers l'humain".

• Envoi régulier de contenus éducatifs contre la fraude : améliorer la capacité des utilisateurs à se défendre contre le phishing via des fenêtres contextuelles de l'application, des interfaces de confirmation de transaction, des e-mails, etc.
• Optimiser le modèle de gestion des risques, introduire la "reconnaissance interactive des comportements anormaux" : La plupart des arnaques par ingénierie sociale incitent les utilisateurs à effectuer une série d'actions (comme des virements, des changements de liste blanche, des liaisons d'appareils, etc.) en peu de temps. La plateforme devrait identifier les combinaisons d'interaction suspectes basées sur un modèle de chaîne de comportement (comme "interactions fréquentes + nouvelle adresse + gros retraits"), déclenchant une période de réflexion ou un mécanisme de réexamen manuel.
• Normaliser les canaux de service client et les mécanismes de vérification : Les escrocs se font souvent passer pour des agents du service client afin de tromper les utilisateurs. La plateforme doit unifier les modèles d'appels téléphoniques, de SMS et d'e-mails, et fournir un "point d'entrée de vérification du service client", en précisant un canal de communication officiel unique pour éviter toute confusion.

utilisateur

• Mise en œuvre d'une stratégie d'isolement des identités : éviter que plusieurs plateformes partagent le même e-mail ou numéro de téléphone, réduire les risques connexes, et utiliser des outils de vérification des fuites pour vérifier régulièrement si l'e-mail a été compromis.

• Activer la liste blanche des transferts et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.

• Restez informé des actualités sur la sécurité : par le biais d'entreprises de sécurité, de médias, de plateformes d'échange, etc., informez-vous sur les dernières tendances des techniques d'attaque et restez vigilant. Actuellement, plusieurs agences de sécurité lancent bientôt une plateforme d'exercice de phishing Web3, qui simulera divers types de techniques de phishing, y compris l'empoisonnement social, le phishing par signature, les interactions avec des contrats malveillants, etc., tout en mettant à jour continuellement le contenu des scénarios en fonction des cas historiques. Cela permettra aux utilisateurs d'améliorer leur capacité à identifier et à réagir dans un environnement sans risque.

• Attention aux risques hors ligne et à la protection de la vie privée : la fuite d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.

Ce n'est pas de l'inquiétude inutile, depuis le début de l'année, les professionnels/utilisateurs du chiffrement ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées comprennent des noms, adresses, coordonnées, données de compte, photos de carte d'identité, les utilisateurs concernés doivent également rester vigilants hors ligne et faire attention à leur sécurité.

En résumé, restez sceptique et continuez à vérifier. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier de manière indépendante par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.

Résumé

Cet événement met de nouveau en lumière les lacunes évidentes de l'industrie en matière de protection des données clients et de sécurité des actifs face à des techniques d'attaque sociale de plus en plus sophistiquées. Il est important de noter que même si les postes concernés sur la plateforme n'ont pas d'autorité financière, un manque de conscience et de compétences en matière de sécurité peut également entraîner des conséquences graves en raison de fuites involontaires ou de manipulation. Avec l'expansion continue de la plateforme, la complexité du contrôle de la sécurité des personnes augmente, devenant l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, la plateforme doit non seulement renforcer les mécanismes de sécurité en chaîne, mais aussi construire systématiquement un "système de défense contre l'ingénierie sociale" couvrant le personnel interne et les services externalisés, intégrant ainsi les risques humains dans la stratégie de sécurité globale.

De plus, une fois qu'une attaque est identifiée comme n'étant pas un événement isolé, mais plutôt une menace continue, organisée et de grande envergure, la plateforme doit réagir immédiatement, en procédant à une vérification proactive des vulnérabilités potentielles, en avertissant les utilisateurs de prendre des précautions et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant à la fois sur les plans technique et organisationnel que l'on peut véritablement préserver la confiance et les limites dans un environnement de sécurité de plus en plus complexe.