Open in app

Sign in

Write

Sign in

Ode au DYOR — Se protéger des arnaques crypto

CryptoManion
12 min readJul 26, 2024

--

L’une des révolutions les plus importantes apportées par la blockchain et les cryptomonnaies est la liberté de propriété et bancaire. Mais avec un grand pouvoir viennent de grandes responsabilités. Cette nouvelle ère est accompagnée d’une éducation, d’un changement de paradigme ; ne pas apprendre et se fier entièrement à des tiers signifie perdre en sécurité et en propriété, ce qui n’est pas le but de ces nouvelles technologies.

Internet a rapidement connu le succès parce que le grand public ne savait pas ce qu’il utilisait. Les utilisateurs n’ont jamais eu besoin de connaître les protocoles TCP-IP pour s’en servir. Mais la blockchain et les cryptomonnaies sont légèrement différentes. Bien sûr, vous n’avez pas besoin d’apprendre à coder un smart contract ou de développer un protocole blockchain pour les utiliser, mais certaines choses sont plus importantes à savoir que d’autres :

Si vous souhaitez apprendre comment faire vos propres recherches et obtenir des conseils pour ne pas vous faire arnaquer, cet article est fait pour vous. Notez que de nouveaux vecteurs d’attaques peuvent apparaître et que cette liste n’est pas exhaustive.

Règles de sécurité de base

Ces règles de base pour vous protéger peuvent s’appliquer à tout le Web 1 jusqu’au Web 3 et seront toujours valables jusqu’au Web 10.

  • Ne faites confiance à personne ; vérifiez toujours les informations vous-même. Vérifiez les sources officielles ;
  • Se protéger signifie protéger son identité en ligne. Je vous recommande de lire cet article de l’Académie Horizen pour en savoir plus sur la protection de votre vie privée numérique (2FA, navigateurs, numéros de téléphone virtuels, etc.) ;
  • Utilisez plusieurs comptes MetaMask/portefeuilles web connectés à vos navigateurs. Si vous souhaitez participer à des airdrops/tests, faites-le à partir d’un wallet avec peu de cryptomonnaies. Vous pouvez les utiliser sur différents navigateurs et même différents ordinateurs. Un navigateur/ordinateur sera réservé aux activités plus sérieuses et l’autre aux tests. C’est la même chose que les paiements par carte de crédit sur Internet, pour ces achats, il est recommandé d’utiliser des cartes à usage unique, disponibles dans de nombreuses néo-banques ;
  • Gardez vos clés privées et phrase de sauvegarde en lieu sûr, ne les copiez/sauvegardez pas sur votre ordinateur et ne les partagez jamais avec personne ;
  • Apprenez. Vous investissez dans les cryptomonnaies et soutenez certains projets ; vous devez savoir avec qui vous traitez ;
  • Multipliez les sources d’apprentissage/médias. Si vous voyez des nouvelles quelque part, vérifiez un deuxième article traitant de la même information ;
  • Enfin et surtout : avec les investissements, investissez toujours ce que vous pouvez vous permettre de perdre : même un projet audité (même par de grandes entreprises d’audit !) peut avoir des failles non détectées dans son code.

Scams habituels

Les escroqueries existaient bien avant la blockchain, les cryptomonnaies et la DeFi. Elles existaient même avant Internet ! À mesure que les technologies évoluent, les escroqueries évoluent également. Mais souvent, elles utilisent les mêmes anciens modèles. Commençons par les scams les plus courants.

Ingénierie sociale

Dans l’ingénierie sociale, l’escroc manipule l’utilisateur ou un tiers entre lui et l’utilisateur (par exemple, FAI, services de messagerie, compagnie de téléphone, etc.) pour obtenir des informations vitales.

L’utilisateur, ou le tiers possédant des informations sur l’utilisateur, pense qu’il est en relation avec une personne de confiance et fournit des données sensibles. La relation peut durer plusieurs jours avant que l’acteur malveillant n’accède à ces données.

Exemples : Le faux centre de support est une escroquerie d’usurpation d’identité très courante dans la crypto. Les escrocs discutent en message privé sur les réseaux sociaux avec des personnes cherchant de l’aide pour voler leurs informations personnelles.

Comment se protéger de l’ingénierie sociale ?

  • Ne faites confiance à personne ;
  • Si vous recevez un email/appel vous demandant de mettre à jour vos données, rendez-vous sur le site en question depuis votre navigateur, pas les liens dans l’email. Si vous avez des données à mettre à jour, vous serez averti sur votre compte sur le site en question ;
  • Vérifiez soigneusement l’adresse email de l’expéditeur. Si le nom de la marque est mal orthographié ou redirigé après des chiffres et des lettres ; c’est un faux ;
  • Regardez toujours l’adresse du site web pour vous assurer que vous êtes sur un bon site : recherchez les fautes de frappe, https://, et les noms de domaine étendus ;
  • Un service de support ne vous DMera jamais en premier. Si quelqu’un vient vous aider en DM, il y a 99% de chances que ce soit une escroquerie ;
  • Vérifiez toujours les liens sur les sources officielles, telles que le site web ou les documents des investisseurs ;
  • En cas de doute, demandez au service de support sur le site web officiel/réseaux sociaux.

Honey pots

Un honey pot consiste à vous faire croire que vous devez absolument investir dans un projet. Ils promettent de grandes incitations ou ont un beau marketing.

C’est simple : si quelqu’un vous dit d’investir dans une crypto qui offre des rendements garantis, ou un ROI énorme et rapide, il y a de grandes chances que ce soit une escroquerie.

Habituellement, les actifs envoyés à la plateforme seront irrécupérables.

Exemple : Evolved Apes

Comment se protéger des honey pots ?

  • Rappelez-vous cette devise : “Si cela semble trop beau pour être vrai, alors c’est probablement le cas.”
  • Lorsqu’il y a beaucoup de marketing fait et toujours pas de MVP ;
  • Lisez le livre blanc : à quel point est-il détaillé ?

Escroqueries dans la DeFi

Rug pulls dans la DeFi et les pools de liquidité

Les rug pulls consistent à retirer tous les fonds que les utilisateurs placent dans un projet prometteur, souvent par une porte dérobée écrite dans le code.

Exemple : SQUID token, Luna.

En ce qui concerne les rug pulls de pools de liquidité, l’escroc utilise de nouveaux produits DeFi avec de nouvelles cryptos pour inciter l’utilisateur à investir et voler son argent.

Dans un pool de liquidité, les utilisateurs mettent des cryptomonnaies à disposition, une paire à la fois, pour que d’autres utilisateurs puissent emprunter, prêter ou échanger via le pool. Les échanges sont facilités en passant de la technologie des carnets d’ordres (order book, comme cela fonctionne sur les plateformes d’échange), où un acheteur doit nécessairement avoir un vendeur en face de lui, à un AMM, Automated Market Maker, où le vendeur ou l’acheteur n’est plus requis en face de lui pour conclure l’échange.

Dans ces rug pulls, les utilisateurs sont incités à fournir des liquidités sur une paire, pour laquelle ils doivent généralement échanger (on dit “swap”), par exemple du BTC contre le jeton nouvellement créé. Pour conclure l’escroquerie, les acteurs malveillants retirent tout le BTC du pool.

Comment se protéger d’un rug pull ?

  • DYOR : lisez le livre blanc, jetez un œil à l’équipe (pouvez-vous trouver les informations en ligne et pas seulement sur le site ?), vérifiez les tokenomics et les projections de distribution des jetons, le nombre de détenteurs des jetons, le nombre de DEX utilisés pour lister le jeton, vérifiez si le code est open-source, audité, où en est le développement du produit par rapport au marketing fait.
  • Écoutez les communautés : allez sur les réseaux sociaux, parlez aux développeurs et aux autres membres de la communauté pour savoir ce qu’ils pensent du projet.

Scams d’airdrop

L’escroquerie de faux giveaway ou airdrop consiste à promouvoir un projet/s’inscrire sur un site en échange de cryptomonnaies ou de NFT gratuits. Lorsque vous essayez de récupérer vos jetons via un lien, l’acteur malveillant profite de cette occasion pour copier les détails de votre compte et accéder à vos cryptomonnaies ou NFT.

Un autre type d’escroquerie d’airdrop consiste à vous demander d’envoyer des cryptomonnaies pour en recevoir plus. Un exemple courant est le Elon Scam, où un faux Elon Musk vous demande d’envoyer des bitcoins et ils vous enverront deux fois plus !

Comment se protéger des escroqueries de airdrop ?

  • Encore une fois, la réponse sera : DYOR ;
  • Ne jamais envoyer de cryptos dans l’espoir d’en recevoir plus ;
  • Assurez-vous que l’airdrop provient d’un compte officiel (vérifiez le nom de domaine du site, le handle Twitter, etc.) ;
  • N’accédez pas à un site web qui envoie une transaction à votre portefeuille ;
  • Évitez les airdrops à haute récompense : cela peut encore être légitime s’il est élevé, mais la plupart du temps (99 %), ce ne sera pas le cas ;
  • Utilisez un portefeuille spécifique pour accéder à ces airdrops ;
  • Ne participez jamais à un airdrop envoyé via DM.

Pump and Dumps

Les Pump and Dumps sont courants et bien connus grâce aux tokens meme. Le marketing autour du token sera axé sur la création d’un FOMO (fear of missing out) pour acheter le token, et lorsque le prix est élevé, l’équipe vend ses tokens pour réaliser un gros profit. Notez que cela peut se produire dans le monde des cryptos et ne se limite pas aux protocoles DeFi.

Comment se protéger des Pump and Dumps ?

  • Sur quoi repose le token ? L’équipe est-elle facile à contacter ? La communauté parle-t-elle sérieusement et ne vous invite-t-elle pas seulement à FOMO ?
  • Lisez le livre blanc, et regardez le site web : s’il n’y a pas de produit ou de service derrière le token et que c’est juste un meme coin, soyez prudent.

Wallet dusting

Cette escroquerie cible les hot wallets comme MetaMask en envoyant une transaction avec une cryptomonnaie qui sera utilisée pour suivre les autres jetons dans votre portefeuille. Habituellement, dans les hot wallets, vous avez la même adresse pour chaque crypto ; l’attaquant peut accéder à votre portefeuille pour voir l’intégralité de votre portefeuille et savoir exactement combien de crytos vous y détenez. Ensuite, il essaiera des attaques de phishing pour vous les voler. Cela peut également se produire lorsque vous téléchargez un logiciel malveillant ou cracké, même en dehors du monde des cryptos : ils peuvent contenir des cehevaux de Troie ou accéder à votre navigateur pour voler vos mots de passe et, éventuellement, vos fonds.

Comment se protéger du dusting ?

  • Ne réalisez jamais de transaction sur une crypto peu connue (DYOR d’abord) ;
  • N’acceptez jamais de transactions sur votre portefeuille si vous ne savez pas d’où elles viennent ;
  • Ne cliquez pas sur les liens envoyés via DM de personnes que vous ne connaissez pas ;
  • Ne jamais utiliser le navigateur pour sauvegarder vos mots de passe, et si vous utilisez un outil externe, utilisez toujours un mot de passe principal ;
  • Ne faites pas confiance aux bots mentionnant MetaMask, Trust Wallet, etc. : ils peuvent envoyer une commande pour voler vos clés privées.

Exemple : attaques de dusting sur les portefeuilles Bitcoin et Litecoin

Point sur les attaques de Flash Loan

Les Flash Loans ne sont pas une escroquerie, mais ils peuvent offrir cette possibilité. Albert Dessaint donne la meilleure définition des Flash Loans : “Cet exploit est rendu possible par la manière dont ce prêt est structuré : l’emprunteur doit contracter, utiliser et rembourser l’argent en une seule transaction sur la blockchain […] Par cette structure, le risque de contrepartie est nul car l’argent ne sera prêté que dans le cas où les trois actions sont effectuées d’une certaine manière”.

Par exemple, ils sont utilisés pour l’arbitrage (tirer parti d’une différence de prix entre deux plateformes d’échange) ou échanger plusieurs fois le token au cours du processus d’achat/vente.

Les Flash Loans peuvent permettre à certains hackers d’exploiter leurs failles. Pour ce faire, l’attaquant joue généralement avec plusieurs cryptomonnaies à faible liquidité pour gonfler artificiellement le prix et ainsi réaliser des gains.

Comment se protéger des attaques de Flash Loan ?

  • Assurez-vous que le DEX est audité ;
  • Vous pouvez consulter leurs programmes de bug bounty pour voir si une faille a été découverte ;
  • Comme pour tout investissement : ne mettez que ce que vous pouvez vous permettre de perdre dans les pools ;
  • N’investissez pas beaucoup dans des cryptos à faible volume.

Exemple : Balancer Hack

Focus sur les NFTs

Les tokens non fongibles (NFTs) sont assez nouveaux dans l’écosystème Web3, et il est plus facile de se faire arnaquer par quelque chose de nouveau, brillant et en proie aux escroqueries. Les NFTs, comme d’autres produits, peuvent être inclus dans des rug pulls, des attaques de phishing, des pump and dumps. Certaines escroqueries sont plus courantes dans le monde des NFTs que dans l’espace crypto commun.

Bidding scams

Les escroqueries de bidding se produisent lorsque vous essayez de vendre vos NFTs sur le marché secondaire. L’acteur malveillant enchérira sur votre NFT mais changera la cryptomonnaie utilisée à votre insu, et vous finissez par vendre votre NFT pour beaucoup moins que ce à quoi vous vous attendiez.

Comment éviter les escroqueries de bidding ?

Regardez toujours la cryptomonnaie utilisée et n’acceptez pas une offre si celle-ci ne correspond pas à vos besoins.

NFTs contrefaits

Certains escrocs volent les créations d’autres artistes NFT. Lorsque vous souhaitez vendre le NFT, le prix peut chuter considérablement s’il est découvert.

Comment éviter les NFTs plagiés ?

Assurez-vous d’acheter auprès d’un vendeur de confiance. Obtenez vos liens à partir de sources officielles.

Autres schémas frauduleux

Invitations via DM

Les invitations en DM pour participer à un pump. Même si la personne qui vient en DM vous dit qu’elle est honnête, 99,99 % ne le sont pas. La meilleure réponse est de les signaler et de les bloquer.

Pour éviter ce type de DM frauduleux, protégez-vous sur les réseaux sociaux en désactivant la possibilité de vous envoyer des DMs.

Phishing par annonces Google payées

L’escroquerie par annonce Google est un type de fraude qui consiste à créer de fausses annonces sur la plateforme publicitaire de Google, Google Ads. Ces escroqueries incluent la création de faux sites web ou entreprises qui semblent légitimes mais sont conçus pour voler des informations de compte ou d’autres informations importantes.

Comment éviter l’escroquerie par annonces Google ?

  • Utilisez un navigateur qui cache les annonces Google des résultats de recherche Google ;
  • Vérifiez les URL pour détecter les sites similaires et le typosquattage. Vérifiez que c’est le domaine légitime de la marque ;
  • Le domaine dans l’annonce peut sembler correct, mais une fois que vous l’ouvrez, vous pouvez être redirigé vers un domaine similaire : Vérifiez le domaine une fois que vous êtes sur le site ;
  • N’utilisez pas les liens des annonces Google dans les résultats de recherche ; cliquez uniquement sur les résultats de recherche réels.

Exemple avec Trezor : Exemple Trezor

Les URL ci-dessus ne mènent évidemment pas au site officiel de Trezor, mais ces escroqueries peuvent être plus difficiles à détecter. Par exemple, ils peuvent utiliser des domaines comme “biṇaṇce.com”. Vous ne l’avez peut-être pas remarqué initialement, mais il utilise un “ṇ”, un caractère latin, au lieu d’un “n”.

Conclusion

Internet serait un endroit plus sûr aujourd’hui avec beaucoup moins de personnes arnaquées si l’éducation suivait l’adoption massive. Nous devons apprendre de nos expériences, et ces expériences nous amènent à nous assurer que l’utilisateur final comprend ce avec quoi il traite lorsqu’il entre dans le monde des cryptomonnaies pour l’utiliser en toute sécurité. Nous espérons que ce guide vous a aidé à mieux comprendre les risques à l’ère numérique et vous a donné envie de continuer à en apprendre davantage sur ce sujet.

Arnaques Crypto
Crypto Scam
Protéger Crypto
Protéger Wallet
Dyor

--

--

CryptoManion

Written by CryptoManion

30 Followers

Part of the Horizen Foundation Writer for Tahiti Cryptomonnaies https://tahiti-cryptomonnaies.com/redacteur/cryptomanion/ My opinions are my own

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams