538 millions de dollars volés par des drainers : les portefeuilles ETH et SOL s’unissent avec des blocages de phishing en temps réel

SEAL, l'organisation de sécurité à but non lucratif qui perturbe les opérations de crypto drainer depuis la fin de 2023, a lancé un réseau de défense anti-phishing en temps réel le 22 octobre en partenariat avec MetaMask, WalletConnect, Backpack et Phantom.

La coalition déploie la technologie Verifiable Phishing Reports, qui permet aux utilisateurs de soumettre des preuves cryptographiquement attestées de sites malveillants, contournant ainsi le goulet d'étranglement de la revue manuelle qui permettait aux drainers de faire tourner leur infrastructure plus rapidement que les défenseurs ne pouvaient réagir.

Selon les rapports de CertiK publiés tout au long de l'année, environ 538 millions de dollars ont été volés par des attaques de phishing au 30 septembre. Cette estimation exclut l'exploitation de 1.4 billions de dollars contre Bybit en février.

La collaboration répond à un cycle d'escalade dans lequel les drainers s'adaptaient à chaque mesure d'atténuation.

Lorsque SEAL a accéléré les mises à jour de eth-phishing-detect, les opérateurs de drainers ont changé de pages d'atterrissage plus fréquemment.

Lorsque les fournisseurs d'infrastructure ont bloqué l'hébergement abusif, les drainers ont migré vers des services offshore bulletproof. Lorsque SEAL a mis en place un scan automatisé via son Phishing Bot, les drainers ont déployé des techniques de camouflage et des mesures anti-fingerprinting pour échapper à la détection.

Le résultat a été une course à l'armement en faveur des attaquants, qui gardaient l'initiative tandis que les défenseurs peinaient à valider les soumissions à grande échelle.

Verifiable Phishing Reporter change le modèle d'engagement. Les utilisateurs soumettent des rapports contenant le contenu exact servi par un site de phishing suspect, accompagné d'une attestation TLS prouvant que le contenu n'a pas été falsifié.

SEAL traite ces soumissions en temps réel sans tri manuel, contournant les techniques de camouflage qui cachent les charges malveillantes aux scanners automatisés.

La coalition intègre les rapports validés dans un système de détection de bout en bout qui bloque les domaines de phishing et les interactions contractuelles à risque sur l'ensemble des portefeuilles participants, transformant ainsi l'intelligence locale en protection à l'échelle du réseau.

Ohm Shah, chercheur en sécurité chez MetaMask, a déclaré :

« Les drainers sont un jeu constant du chat et de la souris comme la plupart des aspects de la sécurité. Travailler aux côtés de SEAL et de leurs chercheurs indépendants permet aux équipes de portefeuilles comme MetaMask d'être plus agiles et d'appliquer la recherche de SEAL en pratique, ce qui perturbe efficacement l'infrastructure des drainers. »

Derek Rein, CTO de WalletConnect, a ajouté que ce partenariat étend les protections pour les portefeuilles WalletConnect Certified, qui avertissent déjà les utilisateurs des sites frauduleux connus.

Armani Ferrante, PDG de Backpack, a présenté l'intégration comme faisant partie de la mission du portefeuille visant à rendre la possession d'actifs numériques plus sûre, tandis que Kim Persson, ingénieur principal chez Phantom, a souligné que la sécurité des domaines et la sécurité des utilisateurs restent des priorités fondamentales.

Mesurer le succès

L'efficacité du réseau pourrait reposer sur trois piliers : moins d'utilisateurs perdant des fonds, une neutralisation plus rapide des menaces et des détections de haute qualité mesurées par rapport à une base de référence pré-lancement et à un groupe de contrôle apparié.

La principale métrique est le taux de perte par utilisateur actif, comme les pertes en dollars dues au phishing pour 1 000 portefeuilles actifs mensuels, qui peuvent être estimées à partir des clusters de drainers on-chain, des auto-déclarations de victimes et de la télémétrie des portefeuilles.

La rapidité définit le deuxième niveau de mesure. Le temps de protection suit la durée médiane et au 95e percentile entre le premier Verifiable Phishing Report et un avertissement ou blocage dans le portefeuille.

Le temps de neutralisation mesure séparément les vecteurs web, des rapports à la propagation sur la liste noire jusqu'à la suppression du site, et les vecteurs on-chain, où les rapports déclenchent l'interception de contrats ou d'adresses à risque.

Des réductions soutenues de ces intervalles devraient corréler avec des pertes effectivement plus faibles.

La couverture et la qualité forment le troisième pilier. Le rappel mesure la part des domaines et adresses de phishing connus signalés avant la première transaction victime, validée par des sources indépendantes et des enquêtes post-incident.

La précision est mesurée comme un moins le taux de faux positifs, confirmé par des attestations TLS propres ultérieures et les recours des utilisateurs.

D'autres contrôles de qualité incluent la fraction des actions du réseau appuyées par des attestations TLS valides, les taux de déduplication entre les rapporteurs, et la durée de vie médiane du domaine après la première attestation.

Les métriques comportementales montreraient si les protections modifient les actions des utilisateurs. Le taux de déviation divise le nombre d'avertissements qui mènent à l'abandon d'actions à risque par le nombre total d'avertissements affichés, tandis que le taux de signature bloquée compte les transactions stoppées net.

L'organisation invite d'autres portefeuilles à rejoindre le réseau et encourage les chercheurs en sécurité et les utilisateurs à contribuer via le client Verifiable Phishing Reporter disponible sur son site.

L’article $538M stolen by drainers: ETH & SOL wallets unite with real-time phishing blocks est apparu en premier sur CryptoSlate.