Une attaque de phishing vole 3 millions de dollars en USDC depuis un portefeuille multi-signature

• Un investisseur perd 3 millions de dollars lors d'une attaque de phishing
• L'exploit a utilisé un contrat malveillant déguisé et vérifié
• Request Finance confirme l'utilisation d'une version falsifiée du contrat

Un investisseur en cryptomonnaies a perdu plus de 3 millions de dollars en stablecoins après avoir été victime d'une attaque de phishing hautement sophistiquée exploitant un portefeuille multisignature. Le cas a été révélé le 11 septembre par le chercheur onchain ZachXBT, qui a noté que le portefeuille de la victime avait été vidé de 3,047 millions de dollars en USDC.

L'attaquant a rapidement converti les fonds en Ethereum et les a redirigés vers Tornado Cash, un protocole de confidentialité souvent utilisé pour dissimuler le mouvement de fonds illicites.

Selon Yu Xian, fondateur de SlowMist, l'adresse compromise était un multisignature Safe 2-sur-4. L'attaque s'est produite après que la victime a autorisé deux transactions consécutives vers une adresse frauduleuse qui imitait l'adresse légitime. Pour augmenter l'efficacité de l'arnaque, le hacker a développé un contrat malveillant dont le premier et le dernier caractère de l'adresse correspondaient à l'adresse correcte, rendant la fraude difficile à détecter.

Xian a expliqué que l'arnaque utilisait la fonction Safe Multi Send, dissimulant l'approbation malveillante dans une autorisation apparemment routinière. "Cette autorisation anormale était difficile à détecter car il ne s'agissait pas d'une approbation standard", a-t-il déclaré.

J'ai examiné le cas de vol publié par @zachxbt, c'est intéressant, l'adresse volée est une adresse multisignature Safe 2/4 :
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Les 3 047 700 USDC volés proviennent de ces deux transactions, consécutives :
3M USD
47 700 USDC

Il s'agit d'une autorisation volée, la victime USDC… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 septembre 2025

L'enquête de Scam Sniffer a révélé que le faux contrat avait été déployé près de deux semaines auparavant, déjà vérifié sur Etherscan, et configuré avec des fonctions de "paiement groupé" pour paraître légitime. Le jour de l'attaque, l'autorisation a été exécutée via l'interface Request Finance, donnant à l'attaquant l'accès aux fonds.

En réponse, Request Finance a confirmé qu'un acteur malveillant avait déployé une version usurpée de son contrat de paiement. L'entreprise a souligné qu'un seul client avait été affecté et que la vulnérabilité a été corrigée.

🚨 Une victime a perdu 3,047M USDC hier lors d'une attaque sophistiquée impliquant un faux contrat Request Finance sur un portefeuille Safe.

Principales conclusions :
• Le portefeuille multisignature Safe 2/4 de la victime montre des transactions groupées via l'interface de l'application Request Finance
• Caché à l'intérieur : approbation vers un contrat malveillant… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 septembre 2025

Cependant, Scam Sniffer a averti que des attaques de phishing similaires peuvent être orchestrées via divers vecteurs, notamment des logiciels malveillants, des extensions de navigateur compromises, des failles dans les interfaces des applications, ou même des détournements DNS. L'utilisation de contrats apparemment vérifiés et d'adresses presque identiques renforce la manière dont les attaquants affinent leurs tactiques pour contourner la vigilance des utilisateurs de cryptomonnaies.