Un utilisateur de Bybit a perdu 1 200 $ après qu’un logiciel malveillant du presse-papiers ait échangé silencieusement l’adresse de son portefeuille en cours de transfert. Voici ce qui s’est passé et comment cela fonctionne.
L’argent a laissé son portefeuille MetaMask propre. Aucune erreur. Aucun avertissement. Je viens de partir.
Un utilisateur de Bybit a envoyé 1 200 $ à ce qu’il pensait être sa propre adresse de dépôt. Dix minutes se sont écoulées. Puis une heure. Aucune confirmation de Bybit n’est jamais arrivée. Selon le compte de sécurité crypto BalaiBB sur X, l’utilisateur avait copié l’adresse de son portefeuille Bybit, ouvert MetaMask, l’avait collé et avait appuyé sur envoyer, comme tout le monde le fait.
Ce qu’il a trouvé en vérifiant la transaction
Alors que le dépôt n’était toujours pas arrivé, BalaiBB posté sur Xque l’utilisateur est revenu et a regardé l’adresse à laquelle il a réellement envoyé. Ce n’était pas le sien. L’appareil exécutait un logiciel malveillant piratant le presse-papiers. Au moment où l’adresse a été copiée, le malware l’a remplacée par un portefeuille contrôlé par l’attaquant. Il a collé le remplacement. Il l’a envoyé à un inconnu.
Le malware n’a jamais émis de son.
Ce type d’attaque s’exécute en arrière-plan sur un appareil Android compromis, en attente. Lorsqu’il détecte une longue chaîne alphanumérique qui ressemble à une adresse de portefeuille cryptographique, il la remplace instantanément. L’utilisateur ne voit rien de changement. La pâte semble identique à première vue. Seuls les quatre derniers personnages racontent l’histoire, si quelqu’un prend la peine de vérifier. Selon BalaiBB sur X, la solution simple consiste toujours à comparer les quatre premier et dernier caractères de n’importe quelle adresse après le collage, avant de confirmer une transaction.
Selon les chercheurs en cybersécurité de Intel CNC, les pirates de presse-papiers peuvent pénétrer dans un appareil via de fausses extensions de navigateur, des chevaux de Troie regroupés dans des téléchargements douteux ou des liens de phishing. Une souche connue, Qulab, ciblait spécifiquement les appareils Android en se déguisant dans de fausses applications Tor Browser distribuées via des magasins d’applications non officiels. Le malware se configure pour s’exécuter au démarrage.
Cinq façons dont votre portefeuille se vide sans que vous cliquiez sur quoi que ce soit d’évident
BalaiBB ne s’est pas arrêté à l’avertissement du presse-papiers. Dans un fil de discussion ultérieur sur X, le compte a présenté quatre autres types d’attaques qui drainent les portefeuilles tout aussi discrètement.
Les fausses approbations de jetons arrivent en deuxième position sur la liste. Un jeton aléatoire apparaît dans un portefeuille. L’utilisateur essaie de le vendre sur un DEX. Au moment où ils approuvent la transaction, le contrat vide tout. La règle de BalaiBB : si vous ne l’avez pas acheté, n’y touchez pas.
Les sites de phishing, qui sont des copies de plateformes DeFi légitimes avec des URL presque identiques, se classent en troisième position. L’URLuniswop.comau lieu deuniswap.orgest le genre de différence que la plupart des utilisateurs font défiler. Une connexion au portefeuille plus une transaction approuvée, et les fonds ont disparu. Comme BalaiBB l’a noté sur X, la mise en signet des sites officiels est la seule défense fiable.
Un faux support client a complété les choses. Quelqu’un tweete un problème avec MetaMask. En quelques minutes, un « agent d’assistance » leur demande un message privé pour « résoudre le problème ». BalaiBB sur X a été direct à ce sujet : aucune entreprise légitime ne demandera jamais une phrase de départ. Pas une seule fois.
Le cinquième type d’attaque, l’ingénierie sociale Discord, opère via des comptes de mod compromis sur des serveurs légitimes. Un faux lien « menthe surprise » ou airdrop provient d’un nom de confiance. Les gens cliquent parce que cela vient de quelqu’un qu’ils ont reconnu. Ils connectent leur portefeuille. Les fonds partent.
Fausses applications Google Play offrant un comportement similaire en matière d’échange de presse-papiersont déjà été documentés ciblant les appareils Android au Brésil, où les attaquants ont créé des pages de magasin d’applications d’imitation pour distribuer des logiciels malveillants qui échangent spécifiquement les adresses de portefeuille lors des transferts USDT.
La partie que personne ne mentionne : il n’y a pas de remboursement
Les transactions blockchain sont définitives. Il n’y a pas de ticket d’assistance, pas de fenêtre de litige, pas de banque à appeler. CNC Intel a confirmé qu’il est presque impossible de récupérer la cryptographie volée lors du détournement du presse-papiers une fois la transaction effectuée. La société a indiqué qu’elle avait travaillé aux côtés des forces de l’ordre pour retrouver les fonds dans de tels cas, même si les recouvrements restent rares.
L’adresse volée peut être suivie en chaîne. L’argent, en pratique, ne peut pas être récupéré.
Avril 2026 a vu 620 millions de dollars de pertes cryptographiquessur 20 incidents, soit le pire total mensuel depuis la violation de Bybit en février 2025. La plupart de ces pertes provenaient de défaillances au niveau des infrastructures. Le vol de presse-papiers de 1 200 $ se situe à l’extrémité opposée de l’échelle. Méthode différente. Même résultat.
CNC Intel recommande d’écraser le contenu du presse-papiers avec du texte aléatoire après avoir copié une adresse de portefeuille, d’exécuter des analyses antivirus complètes avec des outils tels que Malwarebytes ou Kaspersky et de vérifier l’onglet de démarrage de Windows via msconfig pour toute entrée inconnue. Sur Android, c’est dans les magasins d’applications non officiels que commencent la plupart des infections.
Les 1 200 $ de l’utilisateur ne reviendront pas. Ce qu’il a obtenu à la place, c’est une leçon qui coûte moins cher que ce que la plupart des gens paient pour l’apprendre.
Source : Live Bitcoin News
Laisser un commentaire