Arnaque cryptographique Honeypot. Comment l'éviter ?

Dans le monde en pleine expansion des cryptomonnaies, l’attrait des profits rapides peut parfois aveugler même les investisseurs les plus prudents quant aux risques qui se cachent derrière. Parmi les diverses menaces, les escroqueries cryptographiques de type « honeypot » sont apparues comme une tactique particulièrement trompeuse utilisée par les fraudeurs pour voler des actifs et des informations sensibles à des utilisateurs peu méfiants. Ces escroqueries impliquent souvent de faux portefeuilles, jetons ou contrats intelligents qui semblent légitimes mais qui sont en fait des pièges conçus pour exploiter la confiance et la cupidité de leurs victimes. Comprendre le fonctionnement de ces escroqueries et apprendre à les éviter est essentiel pour quiconque navigue dans le paysage des cryptomonnaies.

Qu'est-ce qu'une arnaque cryptographique Honeypot ?

Une arnaque cryptographique de type « honeypot » est une tactique trompeuse utilisée dans le monde des cryptomonnaies, où des escrocs attirent des individus sans méfiance dans un piège conçu pour voler leurs actifs ou leurs informations sensibles. L'arnaque consiste généralement à créer un portefeuille, un jeton ou un contrat intelligent de cryptomonnaie frauduleux qui semble authentique mais qui est en fait un piège soigneusement conçu.

Les escrocs utilisent souvent des plateformes de réseaux sociaux comme X (anciennement Twitter), Discord ou Reddit pour atteindre des victimes potentielles. Ils se font passer pour des utilisateurs inexpérimentés qui ont besoin d'aide pour transférer ou encaisser ce qu'ils prétendent être un paiement cryptographique important. En échange de leur aide, ils offrent de généreuses récompenses, ce qui rend l'offre alléchante.

Pour établir la confiance, l'escroc fournit à la victime les clés privées d'un portefeuille de cryptomonnaies qui semble contenir une quantité importante de jetons. Ces jetons sont généralement libellés dans des cryptomonnaies moins connues, qui, bien que précieuses, ne peuvent pas être utilisées pour couvrir les frais de transaction. La victime est alors invitée à déposer une petite quantité de cryptomonnaies pour couvrir ces frais, souvent sous prétexte d'aider un « commerçant en difficulté ».

Une fois que la victime a transféré ses crypto-monnaies pour couvrir les frais, les fonds sont automatiquement redirigés vers un portefeuille inaccessible contrôlé par l'escroc. Cela se fait à l'aide de scripts automatisés appelés « robots de balayage ». Bien que les montants volés dans chaque cas puissent être faibles, les escrocs répètent ce processus plusieurs fois, ce qui entraîne des gains cumulés importants.

L'attrait des arnaques au honeypot réside dans leur capacité à paraître légitimes et tentantes, en exploitant la cupidité ou la bonne volonté des victimes potentielles. Le faux site Web, le faux portefeuille ou le faux contrat intelligent (le « honeypot ») sont conçus pour tromper les utilisateurs en leur faisant croire qu'ils interagissent avec une plateforme digne de confiance, mais en réalité, il s'agit d'un piège soigneusement tendu.

Comment fonctionnent les pots de miel

Les escroqueries de type « honeypot » dans le monde des cryptomonnaies sont des opérations minutieusement planifiées qui incitent les utilisateurs à se séparer de leurs actifs. Ces escroqueries se déroulent généralement en une série d'étapes calculées, chacune conçue pour exploiter la confiance et la cupidité de la victime.

Installation et création

Le processus commence par le choix du type de pot de miel à déployer par l’escroc. Il peut s’agir d’un contrat intelligent présentant une vulnérabilité apparente ou d’un faux site Web imitant une plateforme d’échange de cryptomonnaies populaire. L’essentiel ici est de faire en sorte que le pot de miel paraisse légitime, que ce soit en concevant un site Web qui reproduit parfaitement une plateforme bien connue ou en déployant un contrat intelligent qui semble avoir une faille permettant aux utilisateurs d’extraire des jetons.

Par exemple, dans un contrat intelligent classique, le contrat semble contenir un bug qui permettrait à n'importe qui d'en retirer des jetons. Cependant, pour exploiter cette « faille », l'utilisateur doit d'abord déposer une certaine quantité de cryptomonnaie dans le contrat.

Promotion et appât des victimes

Une fois le honeypot mis en place, l’étape suivante consiste à attirer les victimes. Les escrocs utilisent souvent des plateformes de médias sociaux comme X, Discord ou Reddit pour atteindre des cibles potentielles. Ils peuvent également utiliser l’optimisation des moteurs de recherche, des publicités payantes et des campagnes sur les médias sociaux pour générer du trafic vers leurs plateformes frauduleuses. Dans certains cas, les escrocs peuvent se faire passer pour des utilisateurs novices ayant besoin d’aide pour retirer ou transférer une quantité importante de cryptomonnaie, promettant à la victime une partie des fonds en échange d’une assistance.

Pour gagner la confiance de la victime, l'escroc peut même lui donner accès à ce qui ressemble à un portefeuille de cryptomonnaies rempli de jetons de valeur. Cependant, ces jetons sont généralement libellés dans des cryptomonnaies moins connues qui ne peuvent pas être utilisées pour couvrir les frais de transaction, ce qui oblige la victime à déposer des fonds supplémentaires dans une cryptomonnaie plus largement acceptée.

Exploitation et vol

Après avoir transféré la cryptomonnaie requise, la victime tente d'exploiter la prétendue vulnérabilité du contrat intelligent ou de finaliser la transaction sur la fausse plateforme. Cependant, c'est là qu'entre en jeu la deuxième couche de l'arnaque. La victime découvre qu'elle ne peut retirer ni son dépôt initial ni aucun des jetons du contrat en raison d'une faille cachée.

L'arnaque se termine lorsque l'attaquant, à l'aide de scripts automatisés ou de « robots de balayage », transfère rapidement le dépôt de la victime et tous les autres fonds du contrat ou du portefeuille vers une adresse inaccessible, volant ainsi les actifs. La plateforme ou le contrat frauduleux est ensuite rapidement démantelé pour éviter d'être détecté.

Exemple du monde réel

Un incident notable s'est produit le 26 février 2024, lorsque Dechat a publié par erreur un lien vers un contrat intelligent honeypot sur ses plateformes de médias sociaux. Bien que l'erreur ait été rapidement corrigée, certains utilisateurs qui ont interagi avec le lien ont subi des pertes financières avant que le problème ne soit résolu.

Types de pots de miel

Faux sites Web

Les fraudeurs conçoivent souvent des sites Web sophistiqués qui imitent les véritables plateformes d’échange, de portefeuille ou d’investissement de crypto-monnaies. Ces sites sont conçus pour ressembler presque à des services légitimes, en utilisant des noms, des logos et des conceptions Web similaires pour tromper les utilisateurs. Les victimes sont encouragées à créer des comptes, à associer leurs coordonnées bancaires et à déposer des fonds, que les escrocs peuvent ensuite voler. Avec l’essor des plateformes de finance décentralisée (DeFi), les escrocs ciblent de plus en plus les utilisateurs en créant de faux protocoles DeFi qui promettent des rendements élevés, pour ensuite disparaître avec les fonds.

Courriels de phishing

Les escrocs envoient des e-mails de phishing qui semblent provenir de sociétés ou de services de cryptomonnaie bien connus, tels que des plateformes d'échange ou des fournisseurs de portefeuilles. Ces e-mails présentent souvent des logos et un contenu d'apparence officielle pour paraître légitimes. Ils peuvent prétendre qu'il y a un problème avec le compte du destinataire et l'inviter à fournir des informations de connexion pour le résoudre. Dans d'autres cas, les e-mails dirigent les utilisateurs vers un dépôt de fonds sur une fausse adresse de portefeuille contrôlée par l'escroc. Une fois que la victime a saisi ses informations d'identification ou transféré des fonds, l'escroc prend le contrôle de ses actifs. Récemment, on a constaté une augmentation des tentatives de phishing ciblant les utilisateurs de plateformes de blockchain émergentes, où les escrocs exploitent le manque de sensibilisation des nouveaux utilisateurs.

Arnaques sur les réseaux sociaux

Les fraudeurs utilisent les réseaux sociaux pour promouvoir de fausses opportunités d'investissement, en s'appuyant souvent sur de fausses recommandations de célébrités, des publicités payantes ou des comptes d'imposteurs. Dans certains cas, ils peuvent même pirater le compte d'une personnalité publique pour donner de la crédibilité à l'arnaque. Par exemple, les escrocs peuvent créer un faux profil d'une célébrité faisant la promotion d'une ICO (Initial Coin Offering) de cryptomonnaie. Les utilisateurs, attirés par la promesse de rendements élevés, sont amenés à envoyer des dépôts de cryptomonnaies, que les escrocs volent ensuite. Récemment, on a constaté une recrudescence des escroqueries impliquant de faux cadeaux NFT (Non-Fungible Token) sur des plateformes comme X (anciennement Twitter) et Instagram.

Pièces manipulées

Les pièces Honeypot sont une autre tactique par laquelle les escrocs créent des jetons avec des contrats intelligents apparemment lucratifs. Les investisseurs sont attirés par la promesse de rendements astronomiques, mais se retrouvent dans l’impossibilité de retirer leurs fonds en raison de règles contractuelles cachées. Une fois que les escrocs ont collecté suffisamment d’investissements, ils exécutent un « rug pull », vidant le contrat et laissant les investisseurs avec des jetons sans valeur. À mesure que les projets DeFi continuent de se développer, la complexité de ces escroqueries augmente également, les attaquants exploitant fréquemment les failles des contrats intelligents pour piéger les investisseurs imprudents.

Attaques de logiciels malveillants

Les attaques de logiciels malveillants sont une méthode courante utilisée par les escrocs pour infiltrer l'appareil d'une victime. En règle générale, les logiciels malveillants sont téléchargés via des liens de phishing ou des pièces jointes à un e-mail, puis s'exécutent en arrière-plan à l'insu de l'utilisateur. Ces logiciels malveillants peuvent voler les clés privées du portefeuille, les mots de passe et d'autres données sensibles, permettant ainsi à l'attaquant de siphonner la cryptomonnaie. Si les logiciels antivirus peuvent parfois détecter et supprimer les logiciels malveillants, de nombreuses attaques sont très sophistiquées, ce qui les rend difficiles à identifier avant qu'il ne soit trop tard. Récemment, on a constaté une augmentation des logiciels malveillants ciblant les portefeuilles mobiles et les applications décentralisées (dApps), car de plus en plus d'utilisateurs gèrent leurs actifs cryptographiques via des smartphones.

Faux parachutages

Dans les faux systèmes de largage aérien, les escrocs attirent les utilisateurs avec la promesse d'une cryptomonnaie gratuite. Ils demandent au destinataire de fournir l'adresse de son portefeuille ou, plus dangereux, sa clé privée pour recevoir l'airdrop. Cependant, cela donne à l'escroc l'accès au portefeuille de l'utilisateur, lui permettant de voler toute cryptomonnaie qui y est stockée. Il est important de noter que les airdrops légitimes ne nécessitent jamais de détails sensibles sur le portefeuille. À mesure que la popularité des airdrops augmente, en particulier dans les espaces NFT et DeFi, les utilisateurs doivent être plus prudents et vérifier la légitimité de l'offre avant d'y participer.

Comment éviter les pots de miel

Pour éviter les escroqueries par pots de miel, il faut faire preuve de vigilance et de prudence. Voici quelques stratégies clés pour vous aider à rester en sécurité :

Faites des recherches avant d’investir

Avant d'engager des fonds ou de fournir des informations personnelles, effectuez des recherches approfondies sur la plateforme ou l'opportunité. Recherchez des avis provenant de sources fiables, vérifiez les plaintes et confirmez que la plateforme est légalement enregistrée et conforme aux réglementations en vigueur. Dans le monde en évolution rapide de la finance décentralisée (DeFi), il est également important de consulter le livre blanc du projet et d'examiner l'équipe qui le soutient pour en garantir la légitimité.

Vérifier la validité du certificat

Vérifiez toujours le certificat SSL des sites Web que vous visitez, en particulier lorsqu'ils impliquent des transactions financières. Les sites frauduleux utilisent souvent des certificats non valides ou auto-signés, ce qui peut être un signal d'alarme. Des outils tels que les vérificateurs SSL peuvent vous aider à déterminer si le certificat d'un site est authentique. De plus, assurez-vous que l'URL commence par « https » et non par « http », car cela indique une connexion sécurisée.

Surveiller la liquidité

Méfiez-vous des jetons ou des pièces qui manquent de liquidité ou qui sont difficiles à encaisser. Les actifs illiquides peuvent être le signe d'un pot de miel, où l'escroc bloque les fonds, ce qui rend impossible pour les investisseurs de vendre ou de retirer leurs investissements. La vérification du volume de transactions du jeton et de sa présence sur les bourses établies peut donner un aperçu de sa liquidité.

Ne faites pas confiance aux recommandations des célébrités

Les recommandations de célébrités, en particulier dans le domaine des cryptomonnaies, sont souvent fabriquées pour promouvoir des cryptomonnaies ou des projets frauduleux. Vérifiez toujours l'authenticité des recommandations avant de prendre une décision d'investissement. Il est également important de noter que même les comptes de célébrités légitimes peuvent être piratés temporairement, les escrocs les utilisant pour tromper leurs abonnés et les inciter à investir dans des stratagèmes frauduleux. Soyez sceptique à l'égard de toute promotion de grande envergure et vérifiez auprès de sources fiables.

Désactiver les autorisations automatiques

Lorsque vous connectez des applications ou des services à votre portefeuille de cryptomonnaies, il est plus sûr d'activer manuellement les autorisations plutôt que d'autoriser l'accès automatique à toutes les fonctionnalités. Les escrocs exploitent souvent les autorisations automatiques pour obtenir un contrôle non autorisé sur vos actifs. Vérifiez et révoquez régulièrement les autorisations inutiles pour minimiser le risque d'accès non autorisé.

Utiliser le stockage à froid

Pour protéger vos avoirs en cryptomonnaies, stockez la majorité de vos actifs dans des portefeuilles hors ligne qui ne sont pas connectés à Internet. Cela réduit considérablement le risque que vos fonds soient compromis en cas d'escroquerie ou de cyberattaque. Ne conservez qu'une petite quantité de cryptomonnaies dans des portefeuilles en ligne pour les transactions quotidiennes.

Activer l'authentification à deux facteurs (2FA)

L'ajout d'une authentification à deux facteurs (2FA) à vos comptes et portefeuilles offre une couche de sécurité supplémentaire. Même si votre mot de passe est compromis, la 2FA rend plus difficile l'accès à vos actifs par les pirates. Utilisez des applications 2FA comme Google Authenticator ou des jetons matériels pour une protection supplémentaire, et évitez la 2FA par SMS, qui peut être vulnérable aux attaques par échange de carte SIM.

Conclusion

Alors que le secteur des cryptomonnaies continue de croître, les méthodes utilisées par les escrocs pour exploiter les utilisateurs sans méfiance se multiplient. Les escroqueries de type « pots de miel », avec leurs tromperies complexes et leurs pièges soigneusement conçus, nous rappellent avec force l’importance de la vigilance et de la diligence raisonnable. En restant informés, en effectuant des recherches approfondies et en adoptant des pratiques de sécurité rigoureuses, telles que l’utilisation du stockage à froid et l’activation de l’authentification à deux facteurs, les investisseurs peuvent se protéger contre ces stratagèmes malveillants. Dans le monde des actifs numériques, le scepticisme et la prudence sont essentiels pour protéger vos investissements et vos informations personnelles

Sachez que Plisio vous propose également :

Créez des factures cryptographiques en 2 clics and Accepter les dons cryptographiques

12 intégrations

6 bibliothèques pour les langages de programmation les plus populaires

19 crypto-monnaies et 12 blockchains