Le fondateur de THORChain perd 1,35 M$ après une arnaque par deepfake sur Zoom et Telegram

Un co-fondateur de THORChain s'est fait voler environ 1,35 million de dollars d'un portefeuille MetaMask oublié après que des attaquants ont utilisé un compte Telegram piraté et une fausse réunion Zoom pour accéder à ses clés stockées, selon des rapports. Le vol a d'abord été signalé on-chain puis confirmé par plusieurs médias et enquêteurs.

THORChain : Arnaque en plusieurs étapes

Selon les rapports, le stratagème a commencé lorsque le compte Telegram d'un associé a été compromis et qu'un lien de réunion malveillant a été diffusé. La cible a rejoint ce qui semblait être un appel vidéo légitime, mais le flux était faux.

Les attaquants ont ensuite exploité l'accès au trousseau iCloud et au profil de navigateur de la victime pour extraire les clés privées liées à un ancien portefeuille, qui a été vidé d'environ 1,35 million de dollars en cryptomonnaies.

Les enquêteurs et les limiers on-chain interviennent

Les enquêteurs blockchain ont rapidement tracé les mouvements et publié leurs découvertes sur les plateformes sociales, certains des premiers limiers on-chain estimant la valeur visible à environ 1,2 million de dollars avant que des rapports ultérieurs ne situent le total près de 1,35 million de dollars.

Les analystes ont signalé des liens avec des acteurs liés à la Corée du Nord sur la base de modèles et de comportements antérieurs, bien que l'attribution dans de tels cas puisse être complexe et prenne du temps à confirmer.

Les leaders de la scène de sécurité crypto ont averti l'industrie de traiter les liens de réunions à distance et les demandes soudaines de fichiers avec une grande prudence.

Un développeur senior de portefeuille a souligné que stocker des clés privées dans un logiciel qui se synchronise avec des services cloud rend un utilisateur vulnérable si ces comptes cloud sont accessibles par des logiciels malveillants ou d'autres exploits. Cet avertissement a été repris dans les flux de développeurs et de sécurité après la divulgation du vol.

Des rapports ont révélé qu'un projet connexe a mis en place une récompense pour aider à récupérer les fonds volés, et les membres de la communauté ont commencé à suivre les transactions pour identifier où les actifs ont été déplacés.

Les appels publics et les primes sont devenus une réponse communautaire courante lorsque de grosses sommes sont détournées et que le traçage on-chain pointe vers des portefeuilles identifiables.

Cet incident fait partie d'une série croissante d'attaques qui utilisent de faux appels vidéo et l'usurpation d'identité pour inciter les cibles à exécuter du code malveillant ou à révéler des informations d'identification.

Des cas majeurs ailleurs ont coûté des millions aux victimes, y compris une histoire antérieure dans laquelle des deepfakes et de faux appels ont conduit à une perte de plusieurs millions au niveau d'une entreprise.

Les chercheurs en sécurité affirment que les criminels combinent désormais l'ingénierie sociale avec des outils d'IA pour rendre les arnaques plus convaincantes.

Image en vedette de IT Security Guru, graphique de TradingView