Un utilisateur perd 304 595 $ en aBasUSDC à cause d'une exploitation malveillante de la signature 'Permit'

Résumé exécutif

Un utilisateur de cryptomonnaie a perdu 304 595 $ en jetons aBasUSDC après avoir exécuté une signature 'permit' malveillante, comme l'a rapporté Scam Sniffer le 5 novembre 2025, soulignant les défis de sécurité persistants dans la finance décentralisée.

L'événement en détail

Le 5 novembre 2025, un utilisateur aurait perdu 304 595 $ en jetons aBasUSDC. L'incident, mis en lumière par Scam Sniffer et rapporté par la suite par PANews, impliquait que l'utilisateur ait signé une signature 'permit' frauduleuse. Cette méthode d'attaque trompe les utilisateurs en les amenant à autoriser le transfert de leurs actifs numériques sans leur connaissance explicite ou leur intention pour la transaction spécifique.

La fonction 'permit', introduite dans le protocole ERC20 via EIP-2612, permet aux utilisateurs d'accorder une autorisation hors chaîne pour les transferts de jetons. Typiquement, cette fonction permet à un compte (Propriétaire) de générer une signature d'autorisation pour un destinataire désigné (Dépenseur), permettant au destinataire d'effectuer des opérations autorisées, telles que l'initiation d'appels transferFrom, sans nécessiter une transaction on-chain du Propriétaire. La signature contient des paramètres incluant le Propriétaire, le Dépenseur, la Valeur et la Date Limite. Ce mécanisme, conçu pour l'efficacité, peut être exploité si les utilisateurs sont piégés en signant des autorisations malveillantes.

Implications sur le marché

Cette exploitation souligne une vulnérabilité critique au sein de l'écosystème Web3, spécifiquement concernant les mécanismes d'autorisation de jetons. L'incident fait suite à d'autres pertes significatives, telles que deux utilisateurs ayant perdu 155 000 $ en aBascbBTC et 90 000 $ en XAUt le 30 septembre 2025, après avoir signé des signatures Uniswap Permit2 malveillantes. Ces événements mettent en évidence la sophistication croissante des attaques qui exploitent les fonctions de protocole légitimes à des fins de gains illicites.

Le sentiment général du marché reste prudent, avec des pertes globales dans le secteur Web3 dues aux attaques de pirates informatiques, aux escroqueries par phishing et aux "rug pulls" s'élevant à environ 2,138 milliards de dollars au premier semestre 2025. Le suivi par Beosin Alert a enregistré 90 incidents d'attaque majeurs au cours de la même période, avec des pertes totales atteignant 2,093 milliards de dollars. De tels incidents, y compris l'exploitation de Balancer V2 le 3 novembre 2025, qui a vu plus de 128 millions de dollars dérobés, contribuent à l'inquiétude croissante des investisseurs concernant la sécurité et l'intégrité des plateformes de finance décentralisée.

Commentaire d'expert

Les plateformes de sécurité telles que GoPlus conseillent aux utilisateurs de maintenir une vigilance extrême, recommandant une adhésion stricte aux protocoles de sécurité. Ceux-ci incluent l'évitement des liens inconnus, le refus d'installer des logiciels non vérifiés, la prudence lors de la signature de contenu de transaction inconnu et le non-transfert de fonds vers des adresses non vérifiées. Scam Sniffer, une plateforme anti-escroquerie Web3, surveille activement de telles menaces, offrant une protection en temps réel grâce à une combinaison d'analyses de données hors chaîne et on-chain. Ses solutions de sécurité sont utilisées par les principaux portefeuilles, y compris Binance, Bybit, OneKey, Phantom et TokenPocket, visant à protéger des millions d'utilisateurs contre le phishing et la fraude.

Contexte plus large

La nature récurrente de ces exploits nécessite une vigilance continue de la part des utilisateurs individuels et des équipes de projets Web3. Bien que la fonction 'permit' offre une efficacité transactionnelle, son exploitation met en évidence le défi permanent de la sécurisation des actifs numériques dans un paysage technologique en rapide évolution. L'incident renforce le besoin de pratiques de sécurité robustes, y compris la vérification minutieuse des détails des transactions et l'utilisation d'outils de sécurité fiables, pour atténuer les risques associés aux fonctionnalités avancées des portefeuilles Web3 et aux protocoles d'autorisation.