Signes de contrats intelligents malveillants : Guide de sécurité Web3

Dans le contexte d'une économie numérique évoluant fortement vers des protocoles décentralisés, les contrats intelligents sont devenus l'épine dorsale de toutes les activités financières sur la blockchain. Cependant, l’immuabilité et l’auto-exécution du code source – qui sont les piliers de la confiance dans le Web3 – sont exploitées par les organisations cybercriminelles pour créer des formes sophistiquées de fraude. Ce rapport se penche sur l'analyse architecturale des contrats intelligents malveillants, depuis les vulnérabilités d'approbation de base jusqu'aux pièges Honeypot et aux mécanismes d'attaque basés sur l'intelligence artificielle (IA) au cours de la période 2025-2026.

Les données réelles compilées par Tan Phat Digital montrent la gravité du problème : au premier semestre 2025, la valeur totale des actifs volés dans le cadre de crimes liés à la crypto-monnaie a atteint un record de 1,93 milliard de dollars, dépassant le total pour l'ensemble de l'année 2024. Les attaques de phishing ne reposent plus sur de simples faux sites Web mais se sont transformées en « attaques composées », combinant manipulation du système, autorité du portefeuille et logique protocolaire. En particulier, l'intervention d'agents d'IA dans la recherche et l'exploitation des vulnérabilités a accru l'efficacité des attaques, les revenus provenant des escroqueries basées sur l'IA étant 4,5 fois supérieurs à ceux des méthodes traditionnelles.

Architecture et vulnérabilités des mécanismes d'approbation des jetons (Token Approval)

Mécanismes d'approbation (Approval) sont un élément fondamental des normes de jetons telles que ERC-20 et permettent aux utilisateurs d'autoriser des adresses tierces à déplacer des actifs. en leur nom. Il s’agit du mécanisme de base qui permet aux applications de finance décentralisée (DeFi) de fonctionner correctement. Cependant, la mise en œuvre erronée ou l'abus de ce mécanisme est devenu l'un des « points morts » de sécurité que les utilisateurs négligent souvent.

Approbation illimitée et risque système

Dans la norme ERC-20, la fonction approuve(adresse dépensée, montant uint256) nécessite l'adresse du délégué et le nombre maximum de jetons. Pour optimiser l'expérience et économiser du gaz, de nombreuses dApp nécessitent des autorisations « d'approbation illimitée » (2 $^{256}-1 $). Une fois accordé, ce droit est permanent jusqu'à sa révocation. Si le contrat est compromis, un attaquant peut vider la totalité de votre solde actuel et futur sans autre confirmation.

Analyse des conditions de concurrence dans la fonction d'approbation

Lorsque l'utilisateur modifie la limite d'approbation de la valeur $x$ à $y$, l'attaquant peut observer la transaction dans le pool de mémoire et exécuter une commande transferFrom d'un montant de $x$ immédiatement avant l'exécution de la nouvelle commande, puis continue de retirer plus de $y$. La perte totale est de $x+y$. Les experts de Tan Phat Digital notent que des bibliothèques comme OpenZeppelin recommandent désormais d'utiliser increaseAllowance pour minimiser ce risque.

Analyse des modèles d'approbation populaires

• Approbation standard (ERC-20) : effectuée via une transaction en chaîne pour établir une allocation. Compatible avec les dApps existantes, mais entraîne des frais de gaz élevés et est vulnérable à des risques d'approbation illimités ou initiaux.

• Permis (EIP-2612) : Utiliser la signature de messages hors chaîne (EIP-712). Économise de l'essence et offre une expérience rapide, mais se laisse facilement tromper en signant de faux messages qui ne laissent aucune trace sur la chaîne.

• Permit2 (Uniswap) : Approbation unique du contrat Permit2 d'Uniswap. Prend en charge la gestion centralisée et le regroupement des transactions, mais crée une « approbation principale » — une faiblesse fatale en cas d'exploitation.

• SetApprovalForAll (ERC-721) : autorise l'intégralité de la collection NFT. Il s'agit d'une exigence nécessaire pour les échanges NFT, mais comporte le risque potentiel de perdre tous les actifs avec un seul mauvais signe.

En savoir plus : Qu'est-ce qu'un contrat intelligent ? Choses à savoir sur les contrats intelligents

Dangers liés à SetApprovalForAll et au phishing NFT

Pour les NFT (ERC-721/1155), la fonction setApprovalForAll autorise un « opérateur » à déplacer tous les NFT appartenant à un contrat utilisateur spécifique. Les attaquants incitent souvent les utilisateurs à signer cette commande via de faux sites Web « Free Mint » ou « Airdrop ». Une fois qu’ils auront le pouvoir, ils utiliseront des boîtes à outils comme Angel Drainer pour vider leur portefeuille. Selon Tan Phat Digital, l'absence d'un mécanisme d'approbation multi-adresses pour chaque NFT a involontairement poussé les utilisateurs dans la position de devoir accepter des risques élevés en échange de commodité.

Droits administratifs de porte dérobée et contrats évolutifs

De nombreux projets « Rug Pull » utilisent des portes dérobées administratives pour s'approprier des actifs après avoir gagné la confiance de la communauté.

Fonctions administratives abusé

• Fonction infinie mint : Le propriétaire imprime un nombre illimité de jetons pour les commercialiser, réduisant ainsi la valeur des actifs de l'utilisateur à 0.

• Fonction pause permanente : Verrouille toutes les activités de transfert et de réception de l'utilisateur pour mener à bien l'acte d'usurpation de fonds. clause.

• La fonction liste noire : empêche les transactions avec des adresses de portefeuille spécifiques, généralement pour les acheteurs immédiatement après avoir déposé des fonds.

Les attaquants utilisent également souvent le modèle proxy pour déployer initialement du code source propre, puis utilisent la fonction upgradeTo pour le remplacer par une logique malveillante une fois que le projet atteint un certain montant de TVL (prix total). certaine valeur clé.

Analyse approfondie des pièges Honeypot

Honeypot est un type de contrat qui contient des pièges logiques qui empêchent le retrait de l'argent déposé.

• Piège de réentrée (piège de hacker) : créant l'apparence d'être vulnérable aux attaques de réentrée pour inciter les personnes ayant des connaissances en programmation à déposer de l'argent pour « pirater ». Cependant, la fonction de retrait a été bloquée par une logique cachée qui a provoqué l'échec de toutes les tentatives de retrait du « pirate informatique » et l'argent leurre est resté bloqué.

• Technique d'obscurcissement : Utiliser des variables du même nom en héritage ou imposer une taxe de vente allant jusqu'à 99 % pour éliminer les bénéfices des utilisateurs.

Le signe le plus simple pour identifier un Honeypot sur Explorer est le graphique en chandeliers "en couleur uniquement" vert" (uniquement acheter, pas vendre) et le nombre de détenteurs augmente continuellement mais il n'y a pas de transferts.

Code source non vérifié et problème des faux audits

La transparence est le fondement du Web3, mais les escrocs cachent souvent le code source sous forme de bytecode illisible. De plus, la falsification des rapports d'audit d'unités réputées telles que CertiK ou Hacken devient un problème douloureux.

Instructions pour vérifier un audit réputé. unités

• CertiK : Le rapport doit avoir un lien direct vers le panneau de contrôle Skynet Vérifié sur : Certik.com/projects.

• Hacken : Le rapport est accessible au public sur GitHub et l'organisation est certifiée ISO 27001 . Hacken.io/audits.

• OpenZeppelin : Fournisseur de bibliothèques de normes, les rapports sont toujours extrêmement détaillés sur : Blog.openzeppelin.com.

• Sherlock : Utilisez le modèle d'audit communautaire avec des rapports transparents sur : Sherlock.xyz.

Voir plus : À quel point l'arnaque à l'approbation est-elle dangereuse et pourquoi tant de gens s'y laissent

Nouvelle tendance d'attaque : IA et chaîne d'approvisionnement

En 2026, l'IA a aidé les fraudeurs à créer l'actualité Les messages de phishing sans fautes d'orthographe et les vidéos Deepfake extrêmement convaincantes. Les attaques de la chaîne d'approvisionnement ciblant les bibliothèques open source sont également en augmentation, généralement le piratage de SagaEVM début 2026, causant 7 millions de dollars de pertes en raison de vulnérabilités héritées.

Piratages DeFi typiques en janvier 2026

• Step Finance : 30,0 millions de dollars perdus en raison de la compromission de clés privées (Leçon : Clés privées). Utilisez des portefeuilles multi-signatures et un stockage froid.

• Truebit : 26,4 millions de dollars perdus en raison d'un ancien bug du code source qui permettait la frappe gratuite de jetons. Leçon : Réauditez l'ancien code source lors de l'intégration de nouveaux systèmes.

• SwapNet : 13,4 millions de dollars perdus en raison d'une vulnérabilité d'appel de fonction arbitraire. Leçon : Contrôlez strictement les données d'entrée.

• SagaEVM : 7 millions de dollars perdus en raison d'une attaque sur la chaîne d'approvisionnement. Leçon : Évaluez soigneusement le code source hérité d'autres projets.

• MakinaFi : Perdu 4,1 millions USD en raison d'une erreur logique du pool de liquidités. Leçon : Audit des cas extrêmes dans la logique DeFi.

Stratégies de protection et outils d'analyse pour les utilisateurs

Pour protéger les actifs, Tan Phat Digital recommande aux utilisateurs de créer un système de défense multicouche :

1. Utilisez des outils automatisés : Vérifiez les adresses de contrat via Token Sniffer (score de sécurité), GoPlus Security (analyse des risques cachés) et Honeypot.is (détecter les pièges de vente).

2. Évaluation manuelle : Obtenez toujours l'adresse du contrat auprès de CoinGecko/CoinMarketCap. Utilisez le portefeuille Rabby pour simuler des transactions (Transaction Simulation) avant de signer.

3. Gérer les autorisations d'approbation : Visitez périodiquement Revoke.cash pour annuler les autorisations d'approbation pour les applications qui ne sont plus utilisées. Il s'agit de la mesure la plus importante pour empêcher les retraits silencieux.

Foire aux questions (FAQ)

1. Qu'est-ce que l'approbation illimitée ? C'est lorsque vous autorisez une dApp à dépenser jusqu'à 2 ^ 256 - 1 jeton dans le portefeuille. Ceci est pratique mais extrêmement dangereux si la dApp est piratée ou s'il s'agit d'une arnaque.

2. Comment révoquer l'approbation du jeton ? Vous devez utiliser des outils comme Revoke.cash (Ethereum) ou Solscan (Solana) pour vérifier et supprimer périodiquement les autorisations d'accès inutiles.

3. Mécanisme Qu'est-ce que "SetApprovalForAll" dans NFT ? Il s'agit d'une autorisation qui permet à un tiers (comme un échange) de déplacer tous les NFT de votre collection spécifique.

4. Pourquoi les échanges NFT demandent-ils l'autorisation « SetApprovalForAll » ? Pour leur permettre de transférer automatiquement les NFT aux acheteurs lorsque la transaction est terminée, sans que vous ayez à signer chaque petite commande

5. Quel est le signe le plus clair d'un pot de miel token ? Le tableau des prix ne comporte que des bougies vertes (ordres d'achat) avec absolument aucun ordre de vente de la part des utilisateurs réguliers pendant de nombreuses heures.

6. Comment fonctionne le « trouble de l'équilibre » dans le pot de miel ? Les escrocs font croire aux utilisateurs que s'ils envoient une quantité d'ETH supérieure au solde actuel du contrat, ils recevront tout leur argent, mais en réalité, la logique du contrat empêche cela.

7. Comment le "Reentrancy Bait" trompe les pirates ?Le contrat expose intentionnellement une "fausse" vulnérabilité de Reentrancy. Lorsqu'un pirate informatique dépose de l'argent pour attaquer, une fonction cachée déclenchera la commande revert, faisant perdre au pirate informatique tout l'argent de l'appât.

8. Quel mal la fonction infinie « Mint » fait-elle aux investisseurs ? Le propriétaire du projet peut imprimer des milliards de jetons supplémentaires, diluant la valeur et faisant chuter immédiatement le prix des jetons que vous détenez à presque zéro.

9. Pourquoi devrait-il le faire ? vous n'interagissez pas avec le code source brut ? Vérifier ? Parce que le code source sous forme de bytecode est illisible, cachant complètement les ordres de retrait ou les portes dérobées malveillantes.

10. Comment savoir si l'audit est réel ? Veuillez visiter directement le site officiel de l'unité d'audit (par exemple CertiK Skynet) et rechercher l'adresse du contrat pour comparer, au lieu de croire aux captures d'écran.

11. Risques Quel est le risque d'une signature "Permis" (EIP-2612) ?Un attaquant peut vous inciter à signer un message hors chaîne (pas de gaz) qui vous autorise à dépenser des jetons à votre insu jusqu'à ce que le portefeuille soit vidé.

12. Quelle est la différence entre "Permit" et "Permit2" ? Le permis est intégré au jeton, tandis que Permit2 (d'Uniswap) est un contrat intermédiaire qui permet l'approbation massive de nombreux types de jetons en même temps avec une seule signature.

13. La « simulation de transaction » est-elle absolument sûre ? Elle vous aide à prévoir les résultats de la transaction (par exemple : « Vous perdrez 10 ETH »), mais ne peut pas détecter les pièges logiques d'activation lente ni mettre à niveau le contrat ultérieurement.

14. Que faire si vous signez accidentellement un contrat soupçonné d'être malveillant et nuisible ? Utilisez immédiatement Revoke.cash pour annuler l'approbation et transférer les actifs restants vers un nouveau portefeuille plus sécurisé.

15. Etherscan peut-il aider à détecter les escroqueries ? Oui, vous pouvez consulter la section « Contrat » pour voir si le code source est vérifié, vérifier l'historique des transactions pour les modèles « acheter uniquement, ne pas vendre » et lire les commentaires du communauté.

La croissance de l'écosystème malveillant des contrats intelligents montre que les attaques deviennent de plus en plus sophistiquées. Le dernier conseil de Tan Phat Digital à tous les investisseurs est de toujours garder un état d'esprit « Zero Trust ». Chaque transaction et signature est potentiellement risquée si elle n'est pas soigneusement vérifiée. Donnez la priorité à la sécurité plutôt qu'à la commodité et utilisez des portefeuilles froids pour les actifs accumulés à long terme.