Les Zero Transfer en Crypto
RicL’industrie des cryptomonnaies est peuplée d’utilisateurs malveillants qui cherchent à profiter des vulnérabilités et à voler vos actifs numériques. Les arnaques mises en place sont de plus en plus sophistiquées et complexes. Aujourd’hui nous allons décrypter l’une des techniques les plus répandues dans le secteur : les Zero Transfer.
Qu’est-ce que le Zero Transfer en crypto ? Comment fonctionne cette technique ? Est-ce vraiment inoffensif et comment s’en protéger ? Crypto-Neet vous explique tout au sujet de ce système malveillant.
C'est quoi un Zero Transfer en Crypto ?
Un Zero Transfer correspond, comme son nom l’indique à un transfert “nul”. Cela signifie que le montant du transfert est de 0. Aucun intérêt pensez-vous ? Détrompez-vous, cette transaction est en réalité un piège.
En effet, pour bien comprendre il faut revoir certaines bases. Lorsque vous allez approuver des contrats intelligents, certains peuvent avoir une faille. La faille exploitée ici permet de déclencher sur votre compte un transfert à montant nul. De ce fait, lorsque vous allez vous connecter, vous allez prendre peur en voyant des transactions sortantes depuis votre portefeuille.
Dans la panique, vous allez penser que votre wallet est compromis et vous allez transférer vos actifs. Malheureusement, c’est là que l’arnaque survient avec de l’address poisoning. Nous allons voir cela en détail, un peu plus loin dans l’article.
Décomposition du processus de transfert
Pour comprendre d’un point de vue plus technique le fonctionnement du Zero Transfer, nous allons décomposer le processus. Cela se déroule en 3 étapes : la vérification du montant du transfert, le transfert des fonds et la diminution du montant délégué.
Vérification du montant du transfert
La première étape pour l’utilisateur malveillant consiste à éplucher le contrat d’un token. Ce dernier va se rendre dans la partie dédiée au transfert et vérifier le montant minimal de délégation pour effectuer le transfert. Par défaut, ce chiffre est de 0, ce qui permet à n’importe qui de faire appel à cette fonction.
Transfert des fonds
L’arnaqueur va ensuite transférer les fonds, en réalité, il ne transfère rien, mais la transaction, elle, a bien lieu. Il va donc utiliser la fonction transfer() afin de créer la fameuse transaction dans l’historique de l’utilisateur piégé, dans le but de le faire paniquer.
Diminution du montant délégué
En se faisant, l’attaquant va diminuer le “montant délégué”. Dans notre exemple, ce montant est de 0, ce qui signifie qu’il ne sera pas diminué. Dans le cas où ce montant n’est pas de 0, c’est le montant délégué par l’émetteur de la transaction (le pirate) qui est diminué, et non pas celle de l’acteur de cette dernière (l’utilisateur piégé).
Une transaction qui n'a pas d'impact ?
Bien que ce stratagème semble être malveillant et puisse être fatal pour certains investisseurs, le Zero Transfer est, en lui-même, inoffensif. C’est les phénomènes associés qu’il est important d’éviter. Nous allons détailler ce mécanisme en détail en parlant de l’inoffensivité de cette méthode, de l’utilisation de votre adresse et du mouvement de panique recherché.
Inoffensive en théorie
Il faut bien comprendre qu’un Zero Transfer est, à lui seul, inoffensif. Il permet seulement de déclencher une transaction vide sur une de vos adresses. Cela lui est permis car un des smarts contracts que vous avez approuvé permet de faire appel à cette fonction.
En aucun cas le pirate est en capacité de transférer vos cryptomonnaies sans votre accord dans ce cas précis, sinon il l’aurait déjà fait. Il s’agit donc plutôt d’un piège, inoffensif certes, mais qui peut s’accompagner d’une ruse qui peut mener à des conséquences.
N’importe qui peut utiliser votre adresse personnelle
Vous l’avez compris, si un des smarts contracts que vous approuvez contient cette faille, alors n’importe qui peut enclencher ce genre de transaction sans votre consentement. Bien que cela soit inoffensif, le réel risque réside dans le mouvement de panique que cela peut provoquer. C’est ce que nous allons voir maintenant.
Causer un mouvement de panique
Le risque des Zero Transfer réside dans le mouvement de panique qu’il peut causer. Lorsque vous allez découvrir cette transaction, vous allez forcément douter et penser que votre portefeuille a été piraté. Dans la précipitation, vous allez enclencher un transfert de vos fonds.
Malheureusement, plusieurs techniques permettent aux malfaiteurs d’interférer dans ce processus en modifiant l’adresse de dépôt de votre transfert. Par exemple :
Votre presse-papiers est compromis, et l’adresse que vous collez pour le transfert n’est pas celle que vous avez copié, mais celle d’un hacker. Vous ne vérifiez pas, procédez au transfert, et vous perdez vos fonds
Vous utilisez l’historique de vos transactions pour récupérer l’une de vos adresses. Malheureusement, le pirate a utilisé une “Vanity address”, c'est-à-dire une adresse qui ressemble à la vôtre. Vous copiez celle-ci sans vérifier et vous transférer vos cryptomonnaies vers l’adresse du pirate
Pourquoi cette faille existe ?
Cette faille étant inoffensive, elle est passée au travers des premiers audits des smarts contracts. Étant donné l’immuabilité des contrats intelligents, il est impossible pour les contrats déjà déployés de modifier cette fonction. Elle reste donc présente tant que le projet ne décidera pas de redéployer un contrat intelligent.
Certains tokens ne peuvent se permettre de redéployer un contrat, et ils ne sont pas vraiment responsables des pertes vu que le Zero Transfer est inoffensif. Les risques liés à cette technique viennent de l’ingéniosité des pirates qui vont altérer d’autres processus pour vous voler. Cependant, comment s’en protéger ?
Comment se protéger des Zero Transfer ?
Il n’existe pas vraiment de moyen de se protéger contre les Zero Transfer puisque ces derniers sont une faille d’un contrat intelligent que vous avez approuvé. Cependant, il existe tout de même une possibilité : révoquer les autorisations que vous avez donné au smart contract.
Cette méthode permet de couper complètement ce qui vous lie au contrat du token en question. Vous pouvez le faire via des sites spécialisés comme revoke.cash. À noter que la prochaine fois que vous voudrez interagir avec ce jeton, pour un transfert ou un swap par exemple, vous devrez à nouveau approuver le contrat.
Une autre méthode consiste à étudier rigoureusement les contrats intelligents des tokens en question avant de les approuver. Cela peut prendre du temps, et si vous décidez d’éviter à tout prix le Zero Transfer, vous risquez de vous rendre inéligible à l’interaction avec de nombreux tokens.
Que faire si vous êtes victime de ce genre de transaction ?
Plaçons-nous dans une hypothèse. Vous vous connectez à votre portefeuille comme d’habitude, et vous remarquez une transaction que vous n’avez pas faite dans votre historique. Quelle attitude adoptée ? Que devez-vous faire exactement ? On vous explique cela juste en dessous.
Vous ne devez pas paniquer
Première chose à bien comprendre : vous devez absolument éviter de paniquer. Agir dans la précipitation est ce qui vous expose au plus de risques avec les Zero Transfer. Gardez en tête que si vous tous vos actifs sont encore sur votre portefeuille, vous avez toujours moyen d’agir.
De plus, si vos cryptomonnaies n’ont pas bougé malgré la transaction, c’est probablement que le pirate est incapable de le faire. Alors restez calme, regardez avec précision la transaction, assurez-vous que vous n’êtes pas à l’origine de cette dernière. Ensuite, identifiez le token en question afin de mieux comprendre d’où vient la faille.
À ce stade, plusieurs options s’offrent à vous :
Ne rien faire car le Zero Transfer est inoffensif
Supprimer les autorisations liées au contrat identifié
Transférer vos actifs numériques sur un autre portefeuille
Si vous optez pour la dernière option, il est important de ne pas le faire n’importe comment.
N’utilisez pas l’historique de vos transactions pour effectuer un transfert
Le réel risque des Zero Transfer existe dans l’hypothèse où vous allez justement transférer vos actifs numériques dans la panique. Vous l’avez compris, ils vont faire en sorte que l’adresse vers laquelle vous allez transférer vos cryptomonnaies n’est pas la bonne.
L’une des techniques favorites est d’introduire une adresse qui ressemble à la vôtre dans votre historique de transaction. Dans la précipitation, vous n’allez pas vérifier, vous allez vous dire qu’il s’agit de l’adresse que vous utilisez régulièrement. Vous allez alors transférer vos actifs vers cette adresse, qui appartient finalement au hacker.
Si vous devez réellement transférer vos cryptomonnaies, nous avons plusieurs conseils à vous donner :
N’utilisez pas l’historique de vos transactions pour récupérer une adresse de transfert
Vérifiez toujours si l’adresse copiée correspond à l’adresse collée dans l’interface d’envoi
Faites une transaction de test, avec un petit montant, pour vous assurer que tout va bien, avant de faire la transaction réelle
Conclusion
Le Zero Transfer est une technique malveillante et inoffensive, qui cherche à faire paniquer l’utilisateur ciblé. Dans la précipitation, les arnaqueurs cherchent à ce que l’utilisateur fasse une erreur et transfert ses cryptomonnaies à une des adresses contrôlée par les hackers.
Nous espérons que notre guide vous aura éclairé sur ce qu’est le Zero Transfer. Si cela vous arrive, nous vous conseillons de rester calme, et d’appliquer les conseils que nous avons pu vous transmettre. Gardez en tête que si rien n’a été volé, c’est sûrement que le pirate n’a pas les accès nécessaires.
RicMon aventure dans les cryptomonnaies commence au début du bull-run 2021. Je me suis d’abord renseigné sur la technologie blockchain, Bitcoin et Ethereum, par simple curiosité. J’ai rapidement été séduit par l’idéal porté par BTC, et j’ai alors décidé d’investir. Par la suite, je me suis intéressé aux NFTs à travers plusieurs écosystèmes, dont Ethereum, Solana, ou encore Avalanche. La technologie développée par Avalanche m’a convaincu, et j’ai alors décidé de passer de simple investisseur à entrepreneur, en créant mon propre projet NFT.
J’ai toujours aimé écrire et transmettre mes connaissances. J’ai commencé par le faire auprès de ma petite communauté sur Twitter, avec laquelle je partageais mes analyses et mes avis. Aujourd’hui, j’ai l’opportunité d’allier mes deux passions, que sont l’écriture et le web3, en tant que rédacteur pour CryptoNeet. N’hésitez pas à me retrouver sur X/twitter.
