Les arnaques par ingénierie sociale frappent durement les utilisateurs de chiffrement : révélation des coulisses d'un eyewash de 600 millions de dollars et stratégies de réponse.
Une arnaque de travailleur social cible les utilisateurs de crypto-monnaie : révéler le modus operandi et les stratégies de prévention
Ces dernières années, les attaques d'ingénierie sociale ciblant les utilisateurs de cryptoactifs sont devenues de plus en plus répandues, représentant un grand risque pour la sécurité des fonds. Depuis 2025, de nombreux cas d'escroqueries par ingénierie sociale visant les utilisateurs d'une plateforme d'échange bien connue ont fait surface, suscitant une large attention. Les discussions dans la communauté montrent que ces événements ne sont pas des cas isolés, mais plutôt un type de fraude caractérisé par sa continuité et son organisation.
Le 15 mai, la plateforme a publié un avis confirmant les précédentes spéculations concernant la présence d'un "traître" en interne. Le ministère de la Justice des États-Unis a ouvert une enquête sur cet incident de fuite de données.
Cet article dévoilera les principales méthodes d'escroquerie des fraudeurs en rassemblant les informations fournies par plusieurs chercheurs en sécurité et victimes, et discutera des stratégies d'adaptation du point de vue des plateformes et des utilisateurs.
Rétrospective historique
Le détective en ligne Zach a mentionné dans une mise à jour sur les réseaux sociaux le 7 mai : "Au cours de la seule semaine passée, plus de 45 millions de dollars ont été volés à des utilisateurs d'une plateforme de trading en raison d'une escroquerie sociale."
Au cours de l'année écoulée, Zach a révélé à plusieurs reprises des incidents de vol d'utilisateurs sur la plateforme, avec des pertes atteignant des dizaines de millions de dollars pour certains victimes. Une enquête détaillée qu'il a publiée en février 2025 montre que, entre décembre 2024 et janvier 2025, le montant total des fonds volés en raison de tels eyewash a déjà dépassé 65 millions de dollars. La plateforme fait face à une grave crise de "fraude sociale", ces attaques continuant à porter atteinte à la sécurité des actifs des utilisateurs à une échelle annuelle de 300 millions de dollars.
Zach a également souligné :
Les groupes qui dirigent ce type d'eyewash se divisent principalement en deux catégories : d'une part, des attaquants de bas niveau provenant de cercles spécifiques, d'autre part, des organisations criminelles en ligne situées en Inde ;
Les cibles des attaques des groupes de fraude sont principalement des utilisateurs américains, avec des méthodes d'opération standardisées et des scripts bien établis ;
Le montant réel des pertes peut être bien supérieur aux statistiques visibles sur la chaîne, car il n'inclut pas les informations non publiées telles que les tickets de support client et les rapports de police non accessibles.
Eyewash
Dans cet événement, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits d'un employé interne pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. L'objectif final des fraudeurs est d'utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à effectuer des virements.
Ce type d'attaque modifie les méthodes de phishing traditionnelles en "filet", passant à des "frappes ciblées", ce qui peut être qualifié de fraude sociale "sur mesure". Le chemin typique du crime est le suivant :
1. Contacter l'utilisateur en tant que "service client officiel"
Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en disant que leur "compte a subi une connexion illégale" ou que "des anomalies de retrait ont été détectées", créant ainsi une atmosphère d'urgence. Ils envoient ensuite des e-mails ou des SMS de phishing réalistes, contenant de faux numéros de ticket ou des liens vers des "processus de récupération", et guident les utilisateurs à agir. Ces liens peuvent pointer vers des interfaces clonées de la plateforme, et peuvent même envoyer des e-mails semblant provenir d'un nom de domaine officiel, certains e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.
2. Guide l'utilisateur pour télécharger un nouveau portefeuille
Les escrocs prétendent "protéger les actifs" pour inciter les utilisateurs à transférer des fonds vers un "portefeuille sécurisé". Ils aident également les utilisateurs à installer un nouveau portefeuille et les guident pour transférer les actifs initialement hébergés sur la plateforme dans un nouveau portefeuille créé.
3. Induire les utilisateurs à utiliser les mots de passe fournis par les escrocs
Contrairement aux "escroqueries par récupération de mnémoniques" traditionnelles, les escrocs fournissent directement un ensemble de mnémoniques qu'ils ont eux-mêmes générés, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".
4. Les escrocs réalisent un vol de fonds
Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service client", tombent facilement dans le piège. Pour elles, un nouveau portefeuille "offert par les autorités" semble naturellement plus sûr qu'un ancien portefeuille "susceptible d'avoir été piraté". Le résultat est qu'une fois que les fonds sont transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les détourner. La notion "de clés que vous ne contrôlez pas, donc d'actifs que vous ne possédez pas" est de nouveau confirmée de manière sanglante.
De plus, certains courriels de phishing prétendent que "en raison d'un jugement dans une action collective, la plateforme va migrer entièrement vers des portefeuilles autogérés" et demandent aux utilisateurs de transférer leurs actifs avant une date précise. Sous la pression du temps et l'implicite "ordre officiel", les utilisateurs sont plus susceptibles de coopérer.
Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :
Outil de fraude complet : les escrocs utilisent un système PBX pour falsifier les numéros d'appel et simuler les appels du service client officiel. Lors de l'envoi d'e-mails de phishing, ils utilisent des outils spécifiques pour imiter les adresses e-mail officielles, accompagnés d'un "guide de récupération de compte" pour inciter au transfert.
Cible précise : les escrocs s'appuient sur des données utilisateur volées achetées sur des canaux spécifiques et le dark web, ciblant des utilisateurs d'une région particulière comme principal objectif, et peuvent même utiliser des outils d'IA pour traiter les données volées, segmenter et restructurer les numéros de téléphone, générer des fichiers en masse, puis envoyer des SMS d'escroquerie via des logiciels de piratage.
Processus de tromperie cohérent : des appels téléphoniques, des SMS aux e-mails, le chemin de l'escroquerie est généralement fluide, les expressions de phishing courantes incluent "une demande de retrait a été reçue sur le compte", "le mot de passe a été réinitialisé", "une connexion anormale a été détectée sur le compte", etc., incitant continuellement la victime à effectuer une "vérification de sécurité" jusqu'à ce que le transfert de portefeuille soit complété.
Analyse en chaîne
Analyse de certaines adresses de fraudeurs déjà rendues publiques, il a été constaté que ces fraudeurs possédaient de fortes capacités d'opération sur la chaîne, voici quelques informations clés :
Les cibles des attaques des escrocs couvrent une variété d'actifs détenus par les utilisateurs, et l'activité de ces adresses est concentrée entre décembre 2024 et mai 2025, les actifs ciblés étant principalement le BTC et l'ETH. Le BTC est actuellement la principale cible des escroqueries, plusieurs adresses réalisant des gains uniques pouvant atteindre plusieurs centaines de BTC, avec une valeur unitaire de plusieurs millions de dollars.
Après l'obtention des fonds, les escrocs utilisent rapidement un processus de lavage pour échanger et transférer des actifs, le modèle principal est le suivant :
Les actifs de type ETH sont souvent rapidement échangés contre DAI ou USDT via un DEX, puis transférés de manière dispersée vers plusieurs nouvelles adresses, certains actifs entrant sur des plateformes de trading centralisées ;
BTC est principalement transféré sur Ethereum via des ponts inter-chaînes, puis échangé contre DAI ou USDT, afin d'éviter les risques de traçage.
Plusieurs adresses d'eyewash restent dans un état de "repos" après avoir reçu des DAI ou des USDT, n'ayant pas encore été transférées.
Pour éviter les interactions entre votre adresse et des adresses suspectes, ce qui pourrait entraîner un risque de gel des actifs, il est conseillé aux utilisateurs d'utiliser un système de détection de risque de blanchiment d'argent et de traçage sur la chaîne avant de procéder à une transaction, afin d'éviter efficacement les menaces potentielles.
Mesures d'adaptation
niveau de plateforme
Les principales mesures de sécurité actuelles reposent davantage sur des protections de "niveau technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, ciblant directement les failles psychologiques et comportementales des utilisateurs. Par conséquent, il est conseillé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité pour établir une ligne de défense de sécurité "axée sur l'humain".
Envoi régulier de contenu éducatif sur la fraude : améliorer la capacité des utilisateurs à se défendre contre le phishing via des fenêtres pop-up dans l'application, l'interface de confirmation des transactions, des e-mails, etc.
Optimiser le modèle de gestion des risques en introduisant la "détection interactive des comportements anormaux" : la plupart des escroqueries par ingénierie sociale incitent les utilisateurs à effectuer une série d'opérations dans un court laps de temps (comme des transferts, des modifications de liste blanche, des liaisons d'appareils, etc.). La plateforme doit identifier les combinaisons d'interactions suspectes sur la base d'un modèle de chaîne comportementale (comme "interactions fréquentes + nouvelle adresse + gros retraits"), déclenchant une période de réflexion ou un mécanisme de révision manuelle.
Normaliser les canaux de service client et les mécanismes de vérification : Les escrocs se font souvent passer pour des agents du service client pour tromper les utilisateurs. La plateforme doit unifier les modèles d'appels, de SMS et d'e-mails, et fournir un "point d'entrée de vérification du service client", afin de clarifier le canal de communication officiel unique et d'éviter toute confusion.
niveau utilisateur
Mettre en œuvre une stratégie d'isolement des identités : éviter de partager la même adresse e-mail ou le même numéro de téléphone sur plusieurs plateformes pour réduire les risques connexes, et utiliser des outils de vérification des fuites pour vérifier régulièrement si l'adresse e-mail a été compromise.
Activer la liste blanche de transfert et le mécanisme de refroidissement des retraits : définir des adresses de confiance pour réduire le risque de perte de fonds en cas d'urgence.
Restez informé des actualités sur la sécurité : par le biais d'entreprises de sécurité, des médias, des plateformes d'échange, etc., informez-vous sur les dernières techniques d'attaque et restez vigilant.
Faites attention aux risques hors ligne et à la protection de la vie privée : la divulgation d'informations personnelles peut également entraîner des problèmes de sécurité personnelle.
Ce n'est pas une inquiétude injustifiée, depuis le début de l'année, les professionnels/utilisateurs des cryptoactifs ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées contiennent des noms, adresses, informations de contact, données de compte, photos de carte d'identité, etc., les utilisateurs concernés doivent également rester vigilants hors ligne et faire attention à leur sécurité.
En résumé, restez sceptique et vérifiez continuellement. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier indépendamment par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.
Résumé
Cet incident expose à nouveau les lacunes évidentes de l'industrie en matière de protection des données clients et des actifs face à des techniques d'attaque de plus en plus sophistiquées. Il est à noter que même si les postes concernés sur la plateforme n'ont pas d'autorisation de fonds, un manque de conscience et de capacité en matière de sécurité peut également entraîner de graves conséquences en raison d'une fuite involontaire ou d'une manipulation. Avec l'expansion continue de la plateforme, la complexité du contrôle de la sécurité du personnel augmente, devenant ainsi l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, tout en renforçant les mécanismes de sécurité sur la chaîne, la plateforme doit également construire de manière systématique un "système de défense contre le social engineering" qui couvre le personnel interne et les services externalisés, intégrant les risques humains dans la stratégie de sécurité globale.
De plus, une fois qu'une attaque n'est pas un événement isolé, mais une menace continue organisée et à grande échelle, la plateforme doit répondre immédiatement, en recherchant activement les vulnérabilités potentielles, en alertant les utilisateurs sur la prévention et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant simultanément sur les plans technique et organisationnel que l'on peut réellement préserver la confiance et les limites dans un environnement de sécurité de plus en plus complexe.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
8
Partager
Commentaire
0/400
SchroedingerGas
· Il y a 4h
Eh, il y a encore des Rug Pull ?
Voir l'originalRépondre0
Deconstructionist
· Il y a 22h
Encore un traître, le cex fiable est mort.
Voir l'originalRépondre0
JustHodlIt
· 08-04 06:23
Vraiment inquiet, ne demandez pas et partez.
Voir l'originalRépondre0
OnChainSleuth
· 08-02 22:59
Cette affaire de l'initié n'est pas encore terminée !
Voir l'originalRépondre0
WalletWhisperer
· 08-02 22:58
Les taupes auraient déjà dû être attrapées !
Voir l'originalRépondre0
GasFeeSobber
· 08-02 22:52
Il y a tellement de traîtres, c'est vraiment effrayant.
Voir l'originalRépondre0
airdrop_whisperer
· 08-02 22:46
Tout le monde crie contre les traîtres.
Voir l'originalRépondre0
MoonRocketman
· 08-02 22:36
Prédiction de précision de 99,9 % par des experts en dynamique orbitale, calculateur d'angle de stop loss en cours en ligne.
Les arnaques par ingénierie sociale frappent durement les utilisateurs de chiffrement : révélation des coulisses d'un eyewash de 600 millions de dollars et stratégies de réponse.
Une arnaque de travailleur social cible les utilisateurs de crypto-monnaie : révéler le modus operandi et les stratégies de prévention
Ces dernières années, les attaques d'ingénierie sociale ciblant les utilisateurs de cryptoactifs sont devenues de plus en plus répandues, représentant un grand risque pour la sécurité des fonds. Depuis 2025, de nombreux cas d'escroqueries par ingénierie sociale visant les utilisateurs d'une plateforme d'échange bien connue ont fait surface, suscitant une large attention. Les discussions dans la communauté montrent que ces événements ne sont pas des cas isolés, mais plutôt un type de fraude caractérisé par sa continuité et son organisation.
Le 15 mai, la plateforme a publié un avis confirmant les précédentes spéculations concernant la présence d'un "traître" en interne. Le ministère de la Justice des États-Unis a ouvert une enquête sur cet incident de fuite de données.
Cet article dévoilera les principales méthodes d'escroquerie des fraudeurs en rassemblant les informations fournies par plusieurs chercheurs en sécurité et victimes, et discutera des stratégies d'adaptation du point de vue des plateformes et des utilisateurs.
Rétrospective historique
Le détective en ligne Zach a mentionné dans une mise à jour sur les réseaux sociaux le 7 mai : "Au cours de la seule semaine passée, plus de 45 millions de dollars ont été volés à des utilisateurs d'une plateforme de trading en raison d'une escroquerie sociale."
Au cours de l'année écoulée, Zach a révélé à plusieurs reprises des incidents de vol d'utilisateurs sur la plateforme, avec des pertes atteignant des dizaines de millions de dollars pour certains victimes. Une enquête détaillée qu'il a publiée en février 2025 montre que, entre décembre 2024 et janvier 2025, le montant total des fonds volés en raison de tels eyewash a déjà dépassé 65 millions de dollars. La plateforme fait face à une grave crise de "fraude sociale", ces attaques continuant à porter atteinte à la sécurité des actifs des utilisateurs à une échelle annuelle de 300 millions de dollars.
Zach a également souligné :
Eyewash
Dans cet événement, le système technique de la plateforme n'a pas été compromis, les fraudeurs ont utilisé les droits d'un employé interne pour obtenir certaines informations sensibles des utilisateurs. Ces informations comprennent : nom, adresse, coordonnées, données de compte, photo de carte d'identité, etc. L'objectif final des fraudeurs est d'utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à effectuer des virements.
Ce type d'attaque modifie les méthodes de phishing traditionnelles en "filet", passant à des "frappes ciblées", ce qui peut être qualifié de fraude sociale "sur mesure". Le chemin typique du crime est le suivant :
1. Contacter l'utilisateur en tant que "service client officiel"
Les escrocs utilisent des systèmes téléphoniques falsifiés pour se faire passer pour le service client de la plateforme, appelant les utilisateurs en disant que leur "compte a subi une connexion illégale" ou que "des anomalies de retrait ont été détectées", créant ainsi une atmosphère d'urgence. Ils envoient ensuite des e-mails ou des SMS de phishing réalistes, contenant de faux numéros de ticket ou des liens vers des "processus de récupération", et guident les utilisateurs à agir. Ces liens peuvent pointer vers des interfaces clonées de la plateforme, et peuvent même envoyer des e-mails semblant provenir d'un nom de domaine officiel, certains e-mails utilisant des techniques de redirection pour contourner les protections de sécurité.
2. Guide l'utilisateur pour télécharger un nouveau portefeuille
Les escrocs prétendent "protéger les actifs" pour inciter les utilisateurs à transférer des fonds vers un "portefeuille sécurisé". Ils aident également les utilisateurs à installer un nouveau portefeuille et les guident pour transférer les actifs initialement hébergés sur la plateforme dans un nouveau portefeuille créé.
3. Induire les utilisateurs à utiliser les mots de passe fournis par les escrocs
Contrairement aux "escroqueries par récupération de mnémoniques" traditionnelles, les escrocs fournissent directement un ensemble de mnémoniques qu'ils ont eux-mêmes générés, incitant les utilisateurs à les utiliser comme "nouveau portefeuille officiel".
4. Les escrocs réalisent un vol de fonds
Les victimes, dans un état de tension, d'anxiété et de confiance envers le "service client", tombent facilement dans le piège. Pour elles, un nouveau portefeuille "offert par les autorités" semble naturellement plus sûr qu'un ancien portefeuille "susceptible d'avoir été piraté". Le résultat est qu'une fois que les fonds sont transférés dans ce nouveau portefeuille, les escrocs peuvent immédiatement les détourner. La notion "de clés que vous ne contrôlez pas, donc d'actifs que vous ne possédez pas" est de nouveau confirmée de manière sanglante.
De plus, certains courriels de phishing prétendent que "en raison d'un jugement dans une action collective, la plateforme va migrer entièrement vers des portefeuilles autogérés" et demandent aux utilisateurs de transférer leurs actifs avant une date précise. Sous la pression du temps et l'implicite "ordre officiel", les utilisateurs sont plus susceptibles de coopérer.
Selon des chercheurs en sécurité, ces attaques sont souvent planifiées et mises en œuvre de manière organisée :
Analyse en chaîne
Analyse de certaines adresses de fraudeurs déjà rendues publiques, il a été constaté que ces fraudeurs possédaient de fortes capacités d'opération sur la chaîne, voici quelques informations clés :
Les cibles des attaques des escrocs couvrent une variété d'actifs détenus par les utilisateurs, et l'activité de ces adresses est concentrée entre décembre 2024 et mai 2025, les actifs ciblés étant principalement le BTC et l'ETH. Le BTC est actuellement la principale cible des escroqueries, plusieurs adresses réalisant des gains uniques pouvant atteindre plusieurs centaines de BTC, avec une valeur unitaire de plusieurs millions de dollars.
Après l'obtention des fonds, les escrocs utilisent rapidement un processus de lavage pour échanger et transférer des actifs, le modèle principal est le suivant :
Plusieurs adresses d'eyewash restent dans un état de "repos" après avoir reçu des DAI ou des USDT, n'ayant pas encore été transférées.
Pour éviter les interactions entre votre adresse et des adresses suspectes, ce qui pourrait entraîner un risque de gel des actifs, il est conseillé aux utilisateurs d'utiliser un système de détection de risque de blanchiment d'argent et de traçage sur la chaîne avant de procéder à une transaction, afin d'éviter efficacement les menaces potentielles.
Mesures d'adaptation
niveau de plateforme
Les principales mesures de sécurité actuelles reposent davantage sur des protections de "niveau technique", tandis que les escroqueries par ingénierie sociale contournent souvent ces mécanismes, ciblant directement les failles psychologiques et comportementales des utilisateurs. Par conséquent, il est conseillé aux plateformes d'intégrer l'éducation des utilisateurs, la formation à la sécurité et la conception de l'utilisabilité pour établir une ligne de défense de sécurité "axée sur l'humain".
niveau utilisateur
Ce n'est pas une inquiétude injustifiée, depuis le début de l'année, les professionnels/utilisateurs des cryptoactifs ont été confrontés à plusieurs incidents menaçant leur sécurité personnelle. Étant donné que les données divulguées contiennent des noms, adresses, informations de contact, données de compte, photos de carte d'identité, etc., les utilisateurs concernés doivent également rester vigilants hors ligne et faire attention à leur sécurité.
En résumé, restez sceptique et vérifiez continuellement. Pour toute opération urgente, assurez-vous de demander à l'autre partie de prouver son identité et de vérifier indépendamment par des canaux officiels, afin d'éviter de prendre des décisions irréversibles sous pression.
Résumé
Cet incident expose à nouveau les lacunes évidentes de l'industrie en matière de protection des données clients et des actifs face à des techniques d'attaque de plus en plus sophistiquées. Il est à noter que même si les postes concernés sur la plateforme n'ont pas d'autorisation de fonds, un manque de conscience et de capacité en matière de sécurité peut également entraîner de graves conséquences en raison d'une fuite involontaire ou d'une manipulation. Avec l'expansion continue de la plateforme, la complexité du contrôle de la sécurité du personnel augmente, devenant ainsi l'un des risques les plus difficiles à surmonter dans l'industrie. Par conséquent, tout en renforçant les mécanismes de sécurité sur la chaîne, la plateforme doit également construire de manière systématique un "système de défense contre le social engineering" qui couvre le personnel interne et les services externalisés, intégrant les risques humains dans la stratégie de sécurité globale.
De plus, une fois qu'une attaque n'est pas un événement isolé, mais une menace continue organisée et à grande échelle, la plateforme doit répondre immédiatement, en recherchant activement les vulnérabilités potentielles, en alertant les utilisateurs sur la prévention et en contrôlant l'étendue des dommages. Ce n'est qu'en répondant simultanément sur les plans technique et organisationnel que l'on peut réellement préserver la confiance et les limites dans un environnement de sécurité de plus en plus complexe.