La magistrale migration d’Ethereum suscite jubilation, admiration et bruit médiatique. Un climat de confusion qu’entendent bien monétiser escrocs et cybercriminels rompus aux crypto-monnaies.

Jour de liesse chez les devs. Ce 15 septembre 2022 est entré dans les manuels d’histoire comme l’accomplissement d’une révolution technologique baptisée « The Merge » : tout en fonctionnant, la blockchain Ethereum, sur laquelle repose tout un écosystème web3, a abandonné un logiciel énergivore au profit d’un protocole plus écoresponsable.

Pareil moment d’allégresse pour une large communauté crypto n’en constitue pas moins un épisode de confusion. Aussi claires soient les nouvelles règles d’Ethereum 2.0, il faut longtemps pour que l’information percole et que le plus large public en prenne connaissance, dans un bruit médiatique parfois décontenançant.

Escrocs et autres cybercriminels apprécient ce genre de zones de turbulences et tentent d’en tirer profit, littéralement. Surtout que l’inédite mise à jour d’Ethereum a complètement changé le rôle des opérateurs de son réseau.

The Merge, une aubaine pour les malfaiteurs

The Merge a exclu les mineurs, qui devaient jongler tant avec les composantes software que hardware (leurs processeurs graphiques pour résoudre les équations cryptographiques). À leur place, le contrôle revient désormais aux validateurs, qui n’ont plus qu’à staker, c’est-à-dire miser leurs crypto-monnaies dans cette loterie high-tech. En verrouillant sur le protocole leurs ethers (ETH), les tokens natifs d’Ethereum, ils parient en quelque sorte pour gagner la possibilité de proposer le prochain bloc de la chaîne… et les récompenses associées.

Financiariser ainsi la sécurité de la deuxième blockchain publique de la planète représente une aubaine pour les malfaiteurs. Certains avaient déjà profité de l’occasion pour vendre de faux tokens « ETH2 » (le nom utilisé à l’origine pour la nouvelle version des ETH) en échange des (anciens) ETH. « Il n’y a aucun autre jeton légitime introduit par The Merge. L’ETH que vous possédiez avant la fusion est le même aujourd’hui », rappelle la plateforme Ethereum.org.

Un exemple de faux message. // Source : Capture de la page d'avertissement d'Ethereum.org
Un exemple de faux message. // Source : Capture de la page d’avertissement d’Ethereum.org

Autre recette frauduleuse, certains se présentent comme des techniciens d’un service de « support » et aident à configurer vos logiciels clients, en prenant soin de subtiliser les accès aux wallets ou en essayant de forcer la signature de transactions illicites. Faut-il encore préciser qu’il n’existe ni service après-vente ni équipe technique travaillant officiellement pour « l’entreprise Ethereum » ? Notons toutefois que circulent sur certaines plateformes des variantes des tokens censées représenter les ethers stakés à l’instar de Coinbase qui utilise justement… l’ETH2. Quand on vous disait qu’il règne une certaine confusion.

Des arnaques elles aussi « upgradées »

Parmi les autres vecteurs de cyberattaques, citons les bons vieux phishings par courriels et les airdrops sur les réseaux sociaux, l’update d’Ethereum offrant de nouvelles munitions aux arnaqueurs. Avec une certaine sophistication pour certaines.

Si tout le monde peut faire tourner un nœud Ethereum, une sauvegarde de tout l’historique des transactions validées, seuls des acteurs privilégiés peuvent depuis The Merge disposer d’un nœud qui valide et produit les nouveaux blocs. Ce rôle requiert au moins 32 ETH (48 000 $), ce qui n’est décemment pas accessible à toutes les bourses.

Certains utilisateurs ont donc rejoint des « staking pools », des fournisseurs de services qui mettent en commun les crypto-monnaies de leurs utilisateurs pour jouer aux validateurs sur Ethereum. Il ne manque pas de scandales dans la finance décentralisée (DeFi) où de tels pools offraient des rendements mirobolants pour attirer le chaland avant de disparaître dans la nature.

Comme dans le cas des « mining pools » frauduleux, ce qu’il risque de se produire, c’est que les rendements faiblissent sans raison pour inciter à investir davantage. Jusqu’au moment inopiné où tous les fonds seraient envoyés à une adresse inconnue et que le pool n’apparaisse plus sur aucune page web. The Merge pourrait paradoxalement « industrialiser » ce genre de piège financier.

Affaire(s) à suivre…

Petit rappel de sécurité pour protéger vos données et crypto-monnaies

Quelques principes de précaution élémentaires aident à atténuer les risques que peut receler la jungle des cryptos :

  • Des mots de passe « résistants » : il vaut mieux éviter les « MonCompteCrypto » et autres combinaisons simplistes, qui demeurent vulnérables à certaines techniques de piratage telles que l’attaque par dictionnaire. La bonne pratique : des passwords aussi longs que le formulaire le permet, avec un mélange de lettres, chiffres, symboles, etc. Et, qui diffèrent d’un service à l’autre. Sans oublier l’authentification à deux facteurs.
  • Filtrer les add-ons des navigateurs : il est conseillé de se limiter aux extensions provenant de sources connues et de confiance, de désinstaller celles inusitées et de se méfier des mises à jour automatiques. « Par défaut, la plupart des extensions de navigateur demandent un accès pour ‘lire et modifier les données du site’, ce qui leur permet de faire presque n’importe quoi avec vos données », rappelle Ethereum.org.
  • S’informer sur le fonctionnement des écosystèmes crypto : eh oui, il vaut mieux faire ses devoirs en la matière. C’est tellement évident que la plupart des utilisateurs se font arnaquer par manque de compréhension.
  • Ne JAMAIS partager ses clés privées : il ne faut jamais dévoiler l’unique moyen donnant accès à son adresse crypto si l’on désire ne pas se faire siphonner ses actifs numériques. Il existe des solutions physiques pour sécuriser hors-ligne ses clés privées.
  • Vérifier le destinataire avant de confirmer une transaction : évitez une erreur d’inattention sur une blockchain sur laquelle la transaction reste irréversible (à moins de connaître le propriétaire de l’adresse).
  • Plafonner les dépenses sur un smart contract : il est recommandé de paramétrer une limite au montant nécessaire pour la transaction, afin d’éviter de voir le contrat vider son wallet.
  • Rester sceptique par défaut : il ne s’agit pas de sombrer dans la paranoïa, mais bien d’avoir conscience des techniques utilisées par les escrocs. « Personne ne va vous donner des ETH gracieusement », affirme Ethereum.org.