Après un piratage de 655 000 $, MetaMask a invité ses utilisateurs avec des appareils Apple à désactiver les sauvegardes automatiques iCloud. En fait, une personne malveillante s’est fait passer pour Apple devant la victime, qui a eu la mauvaise surprise de voir tout son portefeuille crypto volé.
Des stable coins, des NFT et des jetons cryptos dérobés
Les acheteurs de crypto-monnaies et de NFT ont été dépouillés de leur fortune précisément par le biais d’une arnaque bien établie sur les comptes iCloud. Le vendredi 15 avril, Domenic Iacovone a reçu un appel inhabituel d’Apple, ont rapporté CNET et PhonAndroid.
Après plusieurs messages lui demandant de réinitialiser son mot de passe d’identification, il a immédiatement pensé à l’arnaque. Mais le numéro indiquait Apple Inc., qui était associée à la boutique en ligne de la société chez Apple, alors il a rappelé. La personne au téléphone lui a alors dit que son compte avait été compromis et qu’il avait besoin d’un code unique envoyé par Apple sur son iPhone pour s’assurer qu’il était bien le propriétaire du compte. Domenic Iacovone le lui a alors donné. Deux secondes plus tard, son portefeuille de crypto-monnaies était vide.
“Si vous avez activé la sauvegarde iCloud pour les données de l’application, celle-ci comprendra votre coffre-fort MetaMask crypté par mot de passe. Si votre mot de passe n’est pas assez fort et que quelqu’un vole vos informations d’identification iCloud, cela peut se traduire par un vol de fonds.”
Le risque concerne notamment les appareils avec des sauvegardes automatiques sur iCloud, qui est souvent paramétré par défaut. Certains utilisateurs enregistrent leurs phrases d’activation sur iCloud, donc si un attaquant découvre leurs mots de passe, leurs données pourraient être compromises.
Montant perdu : 650 000 $ en crypto-monnaies et NFT. Les actifs volés dans son portefeuille MetaMask comprenaient: au moins 160 000 $ en Ethereum, environ 80 000 $ de son NFT Mutant Ape Yacht Club, 100 000 $ en crypto-monnaie Apecoin et 250 000 $ en jetons Stablecoin Tether.
Privilégier un hardware wallet
Après cet incident, la victime était furieuse lorsqu’elle a appris que MetaMask enregistrait la clé privée à notre insu. En fait, ce n’est pas un secret. Il est même logique de les stocker localement, sinon nous ne pourrions pas accéder à nos phrases de récupération dans les paramètres de sécurité du portefeuille.
Lorsque vous créez un portefeuille sur MetaMask, vous recevez une phrase de départ de 12 mots, qui est nécessaire pour accéder au portefeuille sur un nouvel appareil. Lors de l’utilisation de l’application sur un iPhone, l’appareil stocke automatiquement un fichier dans iCloud qui contient la phrase mnémonique, selon un expert en sécurité cryptographique. Pour éviter la détection, MetaMask recommande de désactiver les sauvegardes.
La clé privée du hot wallet est stockée sur notre machine (iCloud dans ce cas) et est simplement cryptée. Mais une personne suffisamment qualifiée pour contourner ce cryptage aurait accès à l’intégralité du portefeuille. Le moyen le plus efficace d’éviter cela reste un portefeuille matériel, en particulier pour des montants aussi importants.
Si Domenic Iacovone en avait eu un, le phishing dont il a été victime aurait échoué. Très actif sur son Twitter et son Instagram, il y a de fortes chances qu’il ait été spécifiquement visé et que les voleurs aient été préparés pour leur coup après une période d’observation et de préparation.
Ce nouvel incident met en lumière un point noir majeur de la finance décentralisée : l’incapacité des autorités centrales à annuler ou à compenser les pertes. Bien que cet incident malheureux ait affecté un utilisateur Apple, gardez à l’esprit que cela peut arriver sur n’importe quelle machine. Personne n’est à l’abri de ce type d’attaque, et souvent, l’humain reste le principal défaut. Cela nous rappelle que dans les crypto-monnaies, nous sommes seuls responsables de nos fonds et de la sécurité qui va avec.
