MetaMask émet un avertissement suite à un piratage via iCloud ayant entraîné une perte de 650 000 dollars

L’équipe de MetaMask a émis une mise en garde contre la possibilité d’attaques par hameçonnage (phishing) via le service iCloud d'Apple. Cet avertissement intervient après que des escrocs aient réussi à voler 650 000 dollars en cryptomonnaie en utilisant ce vecteur d'attaque.

Source: AdobeStock / bilalulker

La société a expliqué que les coffres-forts MetaMask, les mots de passe cryptés également connus sous le nom de “seed phrase”, sont téléchargés sur iCloud si l'option de sauvegarde est activée. Cela permettrait aux escrocs d'avoir accès à ce mot de passe dès qu'ils compromettent le compte iCloud d'un utilisateur.

"Si vous avez activé la sauvegarde iCloud pour les données de l'application, cela inclura votre coffre-fort MetaMask crypté par mot de passe", a déclaré MetaMask. "Si votre mot de passe n'est pas assez fort, et que quelqu'un hameçonne vos informations d'identification iCloud, cela peut entraîner des vols."

MetaMask a également fourni aux utilisateurs un guide afin de désactiver les sauvegardes iCloud pour MetaMask.

Des escrocs seraient parvenus à drainer les fonds du portefeuille MetaMask d'un utilisateur grâce à cette technique. L’utilisateur du pseudonyme de Domenic Iacovone sur Twitter, dit avoir reçu un appel d'"Apple".

Plusieurs SMS d'Apple l'invitaient à réinitialiser son mot de passe le 15 avril, selon Serpent, fondateur de Sentinel, un système d'atténuation des menaces associées aux cryptomonnaies.

Les messages provenaient d'une entité qui se serait fait passer pour "Apple Inc.", affirmant qu'il y avait une activité suspecte sur le compte de la victime. Elle réclamait un code de vérification à usage unique pour prouver qu'il était bien le propriétaire du compte Apple ID.

"Après avoir donné le code de vérification à 6 chiffres, les escrocs ont raccroché et son portefeuille MetaMask a été vidé, avec plus de [USD] 650 000 volés", a déclaré Serpent, ajoutant que cela était possible parce que la phrase seed de l'utilisateur était enregistrée sur son iCloud.

Au total, l'utilisateur a perdu 132,86 ETH (387 500 USD) et 252 400 USDT, d'une valeur actuelle de 639 900 USD. 

Dans un récent fil de discussion sur Twitter, Taylor Monahan, fondatrice et PDG de MyCrypto, un gestionnaire de portefeuille Ethereum, a décrit de quelle manière un utilisateur de portefeuille MetaMask peut perdre sa phrase secrète.

Elle a expliqué que le partage de la phrase de récupération secrète sur des sites Web, des forums de discussion et des courriels, le partage de l'écran de l'ordinateur, le fait de cliquer sur des liens malveillants et le fait d'avoir activé la sauvegarde iCloud, entre autres, peuvent tous conduire à ce que des acteurs malveillants aient accès aux fonds des utilisateurs.

Par ailleurs, certains utilisateurs ont reproché à MetaMask de stocker la phrase secrète sur iCloud, réclamant une solution rapide.

"Il s'agit d'un risque de sécurité majeur, surtout quand il s'agit d'ingénierie sociale et de la taille de l'industrie", a déclaré un utilisateur de Twitter. "Metamask doit désactiver cette fonctionnalité ou la rendre plus difficile à pirater pour les acteurs malveillants".

Suivez nos liens d'affiliés:

  • Pour acheter des cryptomonnaies en Zone SEPA, Europe et citoyens français, visitez Coinhouse
  • Pour acheter des cryptomonnaies au Canada, visitez Bitbuy
  • Pour générer des intérêts grâce à vos bitcoins, allez sur le site de BlockFi
  • Pour sécuriser ou stocker vos cryptomonnaies, procurez-vous les portefeuilles Ledger ou Trezor
  • Pour transiger vos cryptos de façon anonyme, installez l'application NordVPN

Pour investir dans le minage de cryptomonnaies ou les masternodes:

Pour accumuler des cryptos en jouant :

  • Au poker sur la plateforme de jeux CoinPoker
  • À un fantasy football mondial sur la plateforme Sorare

Restez informé grâce à notre newsletter hebdomadaire gratuite et à nos réseaux sociaux: