AI News CryptoTRADE THE NEWS

Crypto

Phishing d'approbation

Definition

Le phishing d'approbation est une escroquerie crypto qui vous trompe en vous faisant accorder à un contrat intelligent la permission de déplacer vos tokens ou NFTs de votre portefeuille.

Qu'est-ce que le phishing d'approbation ?

Le phishing d'approbation est une escroquerie basée sur un portefeuille où un attaquant vous convainc de signer une autorisation on-chain—souvent une approbation de token ouNFTd'approbation d'opérateur—qui permet à leuradresseou contrat de transférer desactifsplus tard sans redemander.

Au lieu de voler votrephrase de récupération, l'escroquerie abuse des invites normales du portefeuille (“connecter”, “signer”, “approuver”) pour obtenir un consentement qui semble routinier. C'est un schéma central couvert dans les escroqueries de portefeuille crypto et comment les éviter car la transaction que vous signez peut être valide et irréversible même si l'intention était trompeuse.

Phishing d'approbation

À un niveau élevé, le phishing d'approbation fonctionne en séparant le moment où vous accordez la permission du moment où les fonds sont volés. Un site malveillant pourrait faire la publicité d'un airdrop, d'une correction de support ou d'un mint, puis vous inciter à « approuver » ou « signer pour continuer ». Rien d'évident ne quitte immédiatement votre portefeuille, donc cela semble sûr.

Mais l'approbation que vous venez d'accorder peut agir comme une autorisation permanente : l'attaquant (ou un contrat « draineur » automatisé) peut plus tard appeler une fonction de transfert et retirer des actifs qui relèvent de cette permission. C'est pourquoi les victimes remarquent souvent des pertes des heures ou des jours plus tard et ont du mal à relier le vol au clic précédent.

Phishing d'approbation de jeton

Le phishing d'approbation de jeton cible spécifiquement les permissions de style ERC-20. De nombreux jetons nécessitent que vous accordiez à un contrat intelligent une autorisation avant qu'il puisse dépenser en votre nom (par exemple, lors d'un échange sur un DEX). Les escrocs imitent ce flux familier et vous trompent pour approuver leur contrat au lieu d'un contrat légitime.

La version dangereuse est une autorisation « illimitée », où le dépensier peut déplacer jusqu'à votre solde total maintenant et à l'avenir. Certaines campagnes utilisent également des approbations basées sur des signatures telles que permit2, où vous signez un message qui peut ensuite être soumis sur la chaîne par l'attaquant pour activer les droits de dépense.

Comme l'invite du portefeuille peut ne pas expliquer clairement le dépensier ou le montant, le phishing d'approbation de jetons réussit souvent même avec des utilisateurs prudents.

Phishing d'autorisation

Le phishing d'autorisation est essentiellement la même attaque décrite du point de vue de ce qui est abusé : l'autorisation (la limite numérique qui définit combien un dépensier peut transférer). L'objectif de l'escroc est d'obtenir une autorisation qui est (1) suffisamment grande pour valoir la peine d'être volée et (2) suffisamment large pour continuer à fonctionner après que vous ayez reçu plus de fonds.

En pratique, l'attaquant surveille votre portefeuille et déclenche des transferts lorsque votre solde augmente, rendant le vol « mystérieux ». Cela se chevauche également avec le phishing par signature, où le truc consiste à obtenir une signature qui autorise les dépenses ou définit un opérateur, même si vous n'envoyez jamais une transaction « approuver » traditionnelle.

Si vous soupçonnez que vous avez accordé une mauvaise autorisation, la principale atténuation consiste à révoquer l'approbation pour le dépensier suspect afin que les futurs transferts échouent.

Pourquoi le phishing d'approbation est important

Le phishing d'approbation est important car il transforme un seul moment de confusion en un accès continu et programmable à vos actifs—sans compromettre vos clés privées. Cela le rend évolutif pour les attaquants et difficile à contester pour les victimes : la blockchain considérera le transfert comme autorisé si la permission existe.

Cela sape également la confiance des utilisateurs dans les actions quotidiennes de DeFi comme les échanges et les frappes, puisque les applications légitimes utilisent les mêmes mécanismes d'approbation.

La meilleure défense est de comprendre que « approuver » n'est pas une étape inoffensive, de revoir régulièrement les permissions et de supprimer tout ce que vous ne reconnaissez pas—des habitudes qui se situent au centre des escroqueries de portefeuille crypto et comment les éviter.

Frequently Asked Questions

En quoi le phishing d'approbation est-il différent du phishing classique ?

Le phishing classique essaie généralement de voler des secrets comme des mots de passe ou des phrases de récupération. Le phishing d'approbation vous trompe pour que vous autorisiez une permission sur la chaîne, permettant à l'attaquant de déplacer des actifs en utilisant une approbation valide plutôt que des identifiants volés.

Le phishing d'approbation peut-il vider mon portefeuille sans ma phrase de récupération ?

Oui. Si vous avez accordé à un contrat malveillant la permission de dépenser des jetons ou de gérer des NFT, il peut transférer ces actifs sans avoir besoin de votre phrase de récupération, tant que l'approbation reste active.

Qu'est-ce qu'une approbation de jeton illimitée et pourquoi est-ce risqué ?

Une approbation illimitée fixe l'allocation à un très grand nombre afin qu'un contrat puisse dépenser de manière répétée sans nouvelles approbations. Si le dépensier est malveillant ou compromis par la suite, il peut vider vos jetons jusqu'à votre solde total.

Comment savoir si je dois révoquer des approbations ?

Révoquez les approbations que vous ne reconnaissez pas, dont vous n'avez plus besoin, ou qui ont été accordées à des sites suspects, des airdrops ou des liens de "support". Si vous avez interagi avec une dApp douteuse, révoquer rapidement réduit le risque d'un drain retardé.

Est-ce que Permit2 améliore ou aggrave le phishing d'approbation ?

Permit2 peut améliorer l'expérience utilisateur en permettant des permissions basées sur des signatures, mais cela crée également une autre surface de consentement que les attaquants peuvent exploiter. Le risque dépend de ce que vous signez et de qui peut soumettre cette permission signée sur la chaîne.

Related Terms

ERC-20

ERC-20 is the standard set of rules that makes Ethereum-based tokens work consistently across wallets, exchanges, and smart contracts.

Wallet Drainer

A wallet drainer is a crypto scam tool that tricks you into approving or signing transactions that let attackers transfer assets out of your wallet.

Phishing d'approbation : Définition, exemples et prévention