Intrigant et... effrayant ! Vague de siphonnage de wallets en cours ?

[GrosWesh]

Alors le siphonnage est toujours en cours ?

On en entend plus trop parler, on en sait plus à ce sujet ?
J'espère qu'on en connaîtra les causes (dès qu'il y a du sucre à casser sur le dos de Metamask je suis preneur  )

J'aimerais bien en savoir plus également. Je viens de faire une recherche twitter avec 'wallet draining' en mots clé et les résultats sont... inattendus 

Quel suspens 

Mouais... comme d'hab ça a probablement été un peu exagéré. Le mec qui a écrit le fil twitter a peu être deux trois potes 'og' qui se sont fait siphonner dans la même période... En tout cas ça confirme qu'il faut être carré avec nos gestions d'identifiants, seed et compagnie.  Et c'est probablement des manquements (comme cités plus haut : hébergement clés privées dans cloud, seed sur bureau windows, valider des txs sans trop comprendre ce que ça implique etc...) qui ont conduit la plupart à se faire siphonner.   

De toute manière c'est pas la dernière fois qu'on entendra parler de ce genre de choses (et c'est malheureusement parfois tellement facile de tomber dans le panneau...).

[1714606246]

1714606246

[1714606246]

1714606246

[1714606246]

1714606246

[1714606246]

1714606246

[1714606246]

1714606246

[GrosWesh]

Le même compte twitter qui avait publié au sujet d'une recrudescence de siphonnage a mis en ligne un thread dans lequel sont présentés certains des moyens récemment utilisés par des groupes tels que Lazarus.

https://twitter.com/tayvano_/status/1661473965825740800

Même si ce n'est pas nouveau, il est entre autres confirmé que naviguer sur un pc tournant sous Linux ou MacOs n'est plus tellement un gage de sécurité (bon tout est relatif).

Et les méthodes décrites sont très (très!) techniques et tellement ingénieuses... Gaffe à ne pas ouvrir n'importe quel doc 

[F2b]

Grâce à ce tweet je viens de capter qu'on pouvait mettre du Javascript dans un PDF (exemple).
Bon après c'est pas pire que sur n'importe quelle page web, me direz-vous. Mais dans l'inconscient collectif, un PDF c'est un truc relativement inerte (quoique pas tant que ça, quand on y pense ; juste assez pour ne pas y prêter attention et finir par se rendre compte du truc en mode "ah ben oui j'suis con, évidemment").

[GrosWesh]

Grâce à ce tweet je viens de capter qu'on pouvait mettre du Javascript dans un PDF (exemple).
Bon après c'est pas pire que sur n'importe quelle page web, me direz-vous. Mais dans l'inconscient collectif, un PDF c'est un truc relativement inerte (quoique pas tant que ça, quand on y pense ; juste assez pour ne pas y prêter attention et finir par se rendre compte du truc en mode "ah ben oui j'suis con, évidemment").

Mais carrément... même avec des jpeg on peut se faire pigeonner. il y a tellement de manière de se faire avoir  Le mieux est d'interagir avec des wallets auxquels on ne tient pas (et encore, si le pc se fait infecter...). Mais bon, ne sombrons pas dans la paranoïa pour autant, un bon antivirus ou anti malware et des pratiques raisonnées doivent nous éviter un gros % de risques.

[GrosWesh]

Peut être une des raisons expliquant les siphonnages récents : https://milksad.info/

"The main theft occurred around 12 July 2023, although initial exploitation likely began at a smaller scale in May 2023.
A separate but similar vulnerability in another wallet software was detected in November 2022 and actively exploited shortly after, which may be the prequel to this story."


Ceci dit, et comme déja écrit ici ainsi que résumé dans le thread suivant : https://twitter.com/tayvano_/status/1689599497616388096, les raisons pour lesquelles les siphonnages interviennent sont le plus souvent :

1. Vous avez enregistré la seed dans le cloud, délibérément ou accidentellement (par exemple, icloud, dropbox, google, etc.)
2. Logiciels malveillants/enregistreurs de frappe
3. Votre ex
4. Vous l'avez pris en photo
5. Vous l'avez dans votre gestionnaire de mots de passe
6. Vous vous l'êtes envoyé
7. Vous l'avez envoyé à quelqu'un d'autre