Les escroqueries sans transfert deviennent de plus en plus importantes dans l’écosystème crypto, avec plus de 40 millions de dollars volés en 2023.
Un escroc utilisant une attaque de phishing à transfert zéro a réussi à voler 20 millions de dollars de Tether USDT le 1er août avant d'être mis sur liste noire par l'émetteur du stablecoin, Tether.
Selon une mise à jour de la société d'analyse en chaîne PeckShield, un escroc sans transfert a récupéré 20 millions USDT à l'adresse de la victime 0x4071...9Cbc. L'adresse prévue à laquelle la victime prévoyait d'envoyer de l'argent était 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570 ; cependant, il a été envoyé à une adresse de phishing : 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.
L’adresse du portefeuille de la victime a d’abord reçu 10 millions de dollars d’un compte Binance. La victime l'a ensuite envoyé à une autre adresse avant que l'escroc n'intervienne. L'escroc a ensuite envoyé un faux transfert de jeton Zero USDT du compte de la victime vers l'adresse de phishing. Quelques heures plus tard, la victime a envoyé 20 millions USDT à l'escroc, pensant qu'il les transférait à l'adresse souhaitée.
Le portefeuille a été immédiatement gelé par l'émetteur USDT Tether, ce qui a fait sourciller devant la rapidité de l'action.
Les utilisateurs vérifient généralement les cinq premiers ou derniers chiffres d'une adresse de portefeuille, et non l'adresse complète, ce qui les amène à envoyer les actifs à une adresse de phishing. La victime est amenée à envoyer une transaction pour zéro jeton depuis son portefeuille vers une adresse qui ressemble à celle à laquelle elle a déjà envoyé des jetons auparavant.
Par exemple, si la victime a envoyé 100 pièces à une adresse pour un dépôt d’échange, l’attaquant pourrait envoyer 0 pièce du portefeuille de la victime à une adresse qui semble similaire mais contrôlée par l’attaquant. En voyant cette transaction dans son historique de transactions, la victime peut supposer que l'adresse affichée est la bonne adresse de dépôt et envoyer ses pièces à l'adresse de phishing.
Les escroqueries par phishing à transfert zéro sont devenues très répandues dans l’écosystème cryptographique au cours de l’année écoulée, avec plusieurs cas révélés. L’un des premiers cas d’arnaque à transfert zéro s’est produit en décembre 2022, avec plus de 40 millions de dollars de pertes dues à de telles attaques depuis.