Des chercheurs spécialisés en cybersécurité de l’Université Stony Brook ont découvert une nouvelle méthode, pour les fraudeurs, de voler l’argent de propriétaires de cryptomonnaies.
Les résultats de ces travaux sont disponibles sur le serveur de prépublication arXiv.
Au dire des auteurs de l’étude, donc, les bandits numériques ont découvert une méthode permettant de rediriger des paiements en cryptomonnaies vers des portefeuilles électroniques appartenant aux fraudeurs, plutôt que vers les destinataires prévus au départ.
Le nom de cette fraude? Typosquatting. Il s’agit, en fait, d’établir des noms de domaine servant à fournir des noms, sur la chaîne de blocs (le lieu virtuel où les transactions en cryptomonnaies sont identifiées et stockées), qui ressemblent aux noms utilisés par des entités connues.
Plus précisément, les voleurs s’appuient sur une méthode bien plus vieille que l’argent virtuel: l’utilisation d’adresses basées sur des mots, plutôt que celles, bien plus complexes et difficiles à mémoriser, qui contiennent un mélange de lettres et de chiffres, et qui sont généralement associées à des portefeuilles numériques.
Pour transférer de l’argent virtuel, l’utilisateur tape donc une adresse formée d’un ou plusieurs mots, adresse qui est associée au destinataire du paiement. Mais si ce même utilisateur fait une faute de frappe, et que ladite faute s’avère correspondre à une adresse mise en place par un fraudeur, alors l’argent tombe dans les poches du voleur. Et en raison de la nature virtuelle de l’argent, impossible, pour l’expéditeur, de corriger son erreur.
Pour mieux connaître l’ampleur du problème, l’équipe de recherche s’est penchée sur plus de cinq millions de noms de domaines liés aux cryptomonnaies, ces noms ayant été impliqués dans plus de 200 millions de transactions réparties sur les trois principales plateformes de l’industrie.
Les auteurs de l’étude ont ainsi constaté qu’il y aurait quelque 25 000 domaines frauduleux et qu’ils visaient environ 37% des noms légitimes.
Toujours selon les chercheurs, plusieurs de ces noms « similaires » ciblaient des personnalités connues du monde des cryptomonnaies, comme Vitalik Buterin, un nom qui, note-t-on, augmente la probabilité d’erreurs.
Dans le cas de dons, impossible de savoir, autant pour le donateur que le récipiendaire, qu’ils ont été fraudés, affirme-t-on. En fait, au dire des chercheurs, la seule façon de se protéger consiste à… vérifier et revérifier que l’on a bien écrit l’adresse de destination lorsque l’on transfère des cryptomonnaies.
