[#Thread] Le danger dans les cryptomonnaies est PARTOUT, c'est une réalité.

Il y a quelques jours, j'ai reçu une demande suite au siphonnage d'un #wallet plutôt étrange lié à l'utilisation d'une @Ledger.

Après quelques recherches, voici comment s'est déroulé le vol. 🧵👇

Pour des raisons de confidentialité, je ne dévoilerais pas le montant dérobé ni la victime elle-même.

Tout ce que je peux vous dire en revanche et pour avoir une idée, c'est que le vol est de plusieurs #Bitcoin.

Il y a quelques jours, la victime, loin de chez elle avec son ordinateur portable à télécharger Ledger Live, directement depuis le site officiel pour vendre ses $BTC.

Il télécharge, installe et utilise la fonction swap de Ledger pour récupérer l'équivalent en $USDT.

Après quelques minutes d'attente, les cryptomonnaies semblent bien disponible sur Ledger Live et il part se coucher dans la foulée l'esprit tranquille.

Le lendemain matin, il se lève et là, le wallet est totalement vide.

Plus aucune trace de $BTC, stablecoin ou autre cryptomonnaie à l'horizon. Il pense alors a un bug temporaire mais le soir toujours rien et il me contacte.

Première analyse onchain, je remarque bien que les fonds ont disparût mais par rapport à ce qu'il me dit, a aucun moment il ne reçoit des USDT dans son wallet.

L'atomic swap s'est fait correctement via Ledger Live d'après ses dires, mais de #BTC vers des #ETH.

En parallèle, il m'indique qu'absolument personne ne sait qu'il possède une #Ledger et il n'a jamais signé ou approuvé le moindre contrat.

Effectivement, après vérification, jamais aucune approbations ou trace de quoi que ce soit onchain.

Je lui demande de me réexpliquer toutes les étapes avec un MAXIMUM de détails car on rate forcément quelque chose.

En creusant un peu, il m'indique que Ledger Live lui a demandé de taper sa seed pour restaurer son portefeuille.

Vous vous doutez probablement déjà du coup et pourtant, tout était clean.

Il me montre les captures de son historique ainsi que le fichier télécharger et aux premiers abords, tout semble vraiment ok et aucun signe à l'horizon, hormis la demande de cette fameuse seed.

Première idée qui me vient à l'esprit, une redirection malicieuse lors du téléchargement du programme.

En gros, au lieu de télécharger réellement le programme, vous télécharger, sans vous en rendre compte, une version compromise.

Après confirmation, il utilisait un wifi partagé au moment des faits et l'attaque provient très probablement de là.

En retraçant les différentes étapes, il s'avère qu'au moment de l'installation, il a été redirigé sur.... Un site de phishing qui imite PARFAITEMENT l'interface.

Il pensait donc être sur son interface Ledger Live comme si de rien était, surtout qu'a priori, le solde de son wallet s'est correctement affiché et même le swap semble avoir été réussi.

Néanmoins, le voleur à pris soin de vider l'intégralité du wallet.

A l'heure actuellement, difficile de savoir si le fichier en question était effectivement compromis où bien si c'est son ordinateur au moment du lancement.

La taille du fichier est cohérente avec celui téléchargeable sur Ledger directement.

Le plus dingue dans tout ça, c'est que le nom de domaine utilisé imite PARFAITEMENT le nom du fichier téléchargé, ce qui permet de faire en sorte que l'illusion soit parfaite.

La copie conforme de l'application, vraiment au dessus de la majorité des apps.

Suite à ce vol, plusieurs choses importantes sont à retenir.

La première, JAMAIS utiliser de connexion partagé ou de Wifi public quand vous manipulez de la crypto. Je dirais, même en dehors de la crypto, évitez les tant que possible.

Vous éviterez beaucoup de problèmes.

La deuxième chose, le seul endroit où vous devez tapez votre seed, c'est DIRECTEMENT SUR votre clé Ledger.

Pas sur une fenêtre de navigateur, pas dans Ledger Live, UNIQUEMENT sur votre clé en cas de restauration.

La troisième, notez aussi que votre seed doit être conservée à différents endroits.

Si votre maison brûle et que votre Ledger se trouve dans votre chambre, et la seed, dans le placard du salon, vous aurez TOUT perdu.

Pensez- y vraiment avant que le pire n'arrive.

La quatrième, méfiez-vous de tout car de nombreuses contrefaçons traînent sur internet.

En voici un exemple avec une extension de navigateur Ledger Live qui vise également à subtilier vos crypto.

⚠️ Si vous ne savez pas, demandez conseil avant d'agir !

Fun Fact : Certains bots ont même essayé de le #scam en lui demandant d'envoyer de nouveau des fonds sur l'adresse en question.

Je vous rassure, il n'y a pas eu de pertes supplémentaires.

En ce qui concerne les fonds, j'ai tracé les différentes adresses sur lesquelles ils ont été envoyés, mais la traçabilité est complexe (+100k transac).

Néanmoins, une partie semble avoir transité vers une adresse connue… ! Reste à voir si c'est exploitable judiciairement.