La société de cybersécurité Malwarebytes Labs a publié mardi une alerte urgente concernant un faux site web utilisant le domaine « pudgypengu-gamegifts[.]live », qui se fait passer pour le jeu de navigateur Pudgy World, lancé le 10 mars, dans le but de voler les mots de passe des portefeuilles de cryptomonnaies.
Méthodes sophistiquées de phishing : reproduction de 11 interfaces de portefeuilles
Stefan Dasic, ingénieur principal en logiciels malveillants chez Malwarebytes, explique en détail la logique de conception de cette attaque dans son rapport. Certaines fonctionnalités de Pudgy World (comme la vérification de la propriété d’un NFT ou le déblocage de contenu de jeu) nécessitent que les joueurs connectent leur portefeuille cryptographique. Les attaquants exploitent cette étape légitime pour tromper :
« Le site de phishing tire parti de ce processus. Lorsqu’un visiteur choisit son portefeuille sur le faux site, la page affiche une interface qui semble déverrouiller le portefeuille lui-même. Pour l’utilisateur, cela ressemble exactement au logiciel de portefeuille cryptographique authentique et familier qu’il utilise et en auquel il fait confiance. »
Dasic souligne également que cette attaque est d’un niveau technique remarquable — les attaquants ont créé des interfaces UI falsifiées pour 11 types de portefeuilles différents, rendant presque impossible pour un utilisateur de deviner quel portefeuille est ciblé. Qu’il s’agisse d’Ethereum, de Solana ou d’actifs multi-chaînes, tous peuvent recevoir une interface de déverrouillage de portefeuille hautement réaliste. Il estime que la fabrication de 11 interfaces UI falsifiées « n’est pas une tâche facile », ce qui indique que derrière se cache probablement un « acteur de menace bien doté en ressources » ou l’utilisation répétée d’un kit d’outils de phishing commercial conçu spécifiquement pour ce type d’attaque.
Contexte de la marque Pudgy World et risques de sécurité croisés
Pudgy World est un jeu de navigateur gratuit basé sur la marque Pudgy Penguins NFT, permettant aux joueurs d’explorer un univers virtuel, de personnaliser leur pingouin et de réaliser des missions. Depuis l’acquisition par le CEO Luca Netz en 2022, Pudgy Penguins s’est étendu d’une simple collection NFT à une marque de consommation englobant produits de détail, jeux mobiles et jeux web.
Cependant, Pudgy Penguins a déjà été victime d’attaques similaires. En décembre 2024, la société de sécurité blockchain Scam Sniffer a alerté que des attaquants avaient utilisé de fausses publicités Google pour se faire passer pour la plateforme Pudgy Penguins, incitant les utilisateurs à connecter leur portefeuille. Les chercheurs indiquent que ce type d’attaque survient souvent lors d’événements majeurs liés à des projets NFT très connus, où l’afflux de nouveaux utilisateurs crée une fenêtre d’opportunité idéale pour les attaques.
Recommandations de protection : comment éviter d’être victime
Malwarebytes recommande aux utilisateurs de Pudgy World de suivre ces mesures de sécurité spécifiques :
- Accéder au site officiel uniquement via les favoris : évitez d’utiliser des liens provenant de moteurs de recherche ou de réseaux sociaux.
- Faire attention aux demandes de mot de passe de portefeuille : un vrai message de mot de passe ne s’affichera jamais dans le contenu de la page ; si la page demande d’entrer le mot de passe dans le navigateur, il faut arrêter immédiatement.
- Ne pas cliquer sur les liens dans les messages privés ou sur les réseaux sociaux : les liens officiels des projets cryptographiques doivent provenir des comptes officiels Twitter/X ou Discord, épinglés.
- Réagir rapidement si un mot de passe a été saisi sur un site suspect : changer immédiatement le mot de passe du portefeuille ; si l’on suspecte un vol, transférer les actifs vers une nouvelle adresse de portefeuille.
Questions fréquentes
Comment vérifier que je visite le site officiel de Pudgy World et non un faux ?
Les méthodes de vérification incluent : comparer le domaine avec celui du site officiel de Pudgy Penguins (attention à tout caractère supplémentaire ou trait d’union) ; obtenir le lien du jeu directement via les canaux officiels Twitter/X ou Discord ; et utiliser un favori pour accéder à l’adresse officielle confirmée, plutôt que de rechercher à chaque fois via un moteur de recherche.
Pourquoi les attaquants agissent-ils immédiatement après le lancement d’un nouveau jeu ?
Stefan Dasic de Malwarebytes explique que le moment de l’attaque est délibérément choisi — lors du lancement d’un nouveau jeu, beaucoup de nouveaux utilisateurs découvrent les portefeuilles cryptographiques et ne sont pas encore familiarisés avec la nécessité de connecter leur portefeuille, ce qui les rend plus vulnérables. Par ailleurs, la hausse soudaine de recherches pour le nouveau jeu augmente la probabilité que des sites frauduleux apparaissent en haut des résultats.
Les données du FBI montrent que les pertes dues aux arnaques par phishing en 2024 ont dépassé 70 millions de dollars. Quel risque cela représente-t-il pour les utilisateurs de cryptomonnaies ?
Selon le centre de plainte contre la criminalité en ligne du FBI (IC3), en 2024, 193 407 plaintes pour phishing et escroqueries ont été enregistrées, avec des pertes déclarées de plus de 70 millions de dollars, sans compter de nombreux cas non signalés. Les utilisateurs de cryptomonnaies sont exposés à un risque accru en raison de l’anonymat et de l’irréversibilité des transactions : une fois que des actifs sont transférés à une adresse contrôlée par un attaquant, il est presque impossible de les récupérer.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le braquage le plus stupide du monde des crypto ? Un pirate encaisse 1 milliard de dollars en DOT, mais ne vole finalement que 230 000 dollars
Des pirates ont exploité une faille du pont inter-chaînes Hyperbridge pour frapper 1 milliard d'unités de tokens Polkadot (DOT), avec une valeur nominale de plus de 1,19 milliard de dollars, mais en raison d'un manque de liquidité, ils n'ont finalement encaissé qu'environ 237 000 dollars. L'attaque a eu lieu parce que le contrat intelligent n'a pas correctement vérifié les messages, permettant aux pirates de réussir à voler les droits de gestion et à émettre des pièces. L'incident met en évidence le rôle crucial de la liquidité du marché dans la réussite de l'arbitrage.
CryptoCityIl y a 6h
Une fausse application Ledger Live vole 9,5 M$ à plus de 50 utilisateurs sur plusieurs blockchains
Une application frauduleuse Ledger Live sur l’App Store d’Apple a dérobé 9,5 millions de dollars à plus de 50 utilisateurs en compromettant les informations du portefeuille. L’incident, impliquant d’importantes pertes pour de grands investisseurs, soulève des inquiétudes concernant la sécurité de l’App Store, ce qui alimente des discussions sur une éventuelle action en justice contre Apple.
GateNewsIl y a 7h
Critiqué pour un gel trop lent de l’USDC ! Le PDG de Circle : il faudra forcément attendre l’ordre du tribunal pour geler, refus de geler de manière unilatérale
Circle Le PDG Jeremy Allaire indique que, sauf si la société reçoit une ordonnance du tribunal ou une exigence d’application de la loi, elle ne gèlera pas volontairement des adresses de portefeuille. Même face à des controverses de blanchiment d’argent impliquant des pirates informatiques et à des critiques de la communauté, Circle continue d’insister sur le respect des principes de l’État de droit pour fonctionner.
Jeremy Allaire fixe la ligne rouge de l’application de la loi chez Circle
-----------------------------
Alors que le marché mondial des crypto-monnaies connaît une agitation croissante, le PDG de l’émetteur de stablecoins Circle, Jeremy Allaire, lors d’une conférence de presse à Séoul en Corée du Sud, a exprimé une position claire sur la question la plus sensible pour le marché : « le gel d’actifs ». Il a indiqué que, bien que Circle dispose de moyens techniques permettant de geler des adresses de portefeuille spécifiques, sauf si la société reçoit une ordonnance du tribunal ou une instruction officielle des autorités d’application de la loi, elle ne
CryptoCityIl y a 9h
Attaquant Exploitant la Vulnérabilité de Polkadot Ponté Transfère $269K vers Tornado Cash
Le 15 avril, Arkham a rapporté que l’attaquant ayant exploité une vulnérabilité de Bridged Polkadot avait transféré environ 269 000 $ de fonds volés vers Tornado Cash, compliquant le suivi des actifs.
GateNewsIl y a 9h
Des développeurs de Bitcoin proposent le BIP 361 pour se protéger contre les menaces liées à l’informatique quantique
Les développeurs de Bitcoin ont proposé le BIP 361 afin de protéger le réseau contre les risques liés aux ordinateurs quantiques en gelant les adresses vulnérables. La proposition inclut un plan par étapes pour faire passer les utilisateurs à des portefeuilles résistants aux attaques quantiques, mais elle a déclenché un débat sur le contrôle des utilisateurs et la sécurité.
GateNewsIl y a 10h
Des pirates exploitent le plugin Obsidian pour diffuser le cheval de Troie PHANTOMPULSE avec un C2 basé sur la blockchain
Les laboratoires Elastic Security ont révélé que des acteurs malveillants se sont fait passer pour des sociétés de capital-risque sur LinkedIn et Telegram afin de déployer un RAT Windows nommé PHANTOMPULSE, en utilisant des coffres de notes Obsidian pour mener des attaques, ce que Elastic Defend a réussi à bloquer.
GateNewsIl y a 11h
