Qu’est-ce qu’une attaque de chaîne d’approvisionnement en crypto?
Une attaque de chaîne d’approvisionnement dans le domaine cryptographique est une cyberattaque où les pirates ciblent des composants, des services ou des logiciels tiers sur lesquels un projet s’appuie au lieu d’attaquer le projet lui-même. Ces composants peuvent inclure des bibliothèques, des interfaces de programmation d’applications (API) ou des outils utilisés dans les applications décentralisées (DAPP), les échanges ou les systèmes de blockchain.
En compromettant ces dépendances externes, les attaquants peuvent insérer du code nocif ou obtenir un accès non autorisé aux systèmes critiques. Par exemple, ils peuvent modifier une bibliothèque open source largement utilisée dans les plates-formes Defi pour voler des clés privées ou rediriger les fonds après sa mise en œuvre.
La dépendance de l’écosystème cryptographique sur les logiciels open source et les intégrations tierces le rend très sensible à de telles attaques. Ces attaques dans Crypto exploitent des points d’entrée faibles tels que les dépendances compromises du gestionnaire de packages de nœuds (NPM) ou les dépendances GitHub, où les attaquants injectent du code malveillant dans des bibliothèques largement utilisées.
Les portefeuilles matériels ou les SDK peuvent également être falsifiés pendant la fabrication ou les mises à jour, exposant des clés privées. De plus, les attaquants peuvent inviter les gardiens ou les oracles tiers, manipulant les flux de données ou l’accès du portefeuille pour voler des fonds ou perturber les contrats intelligents sur les plateformes de financement décentralisées (DEFI).
Saviez-vous? Certains attaquants hébergent un code propre sur GitHub mais publient des versions malveillantes à PYPI ou NPM. Les développeurs faisant confiance au dépôt GitHub ne peuvent jamais soupçonner que ce qu’ils installent est différent et risqué.
Comment les attaques de chaîne d’approvisionnement fonctionnent en crypto
Les attaques de chaîne d’approvisionnement en crypto-monnaie sont des cyberattaques complexes qui exploitent les vulnérabilités dans les dépendances externes d’un projet.
Voici comment ces attaques se produisent généralement:
- Cibler un composant: Les attaquants identifient un composant tiers largement utilisé, tel qu’une bibliothèque open source, une dépendance de contrat intelligente ou un logiciel de portefeuille, sur lequel dépendent de nombreux projets cryptographiques.
- Compromettant le composant: Ils altération du composant en insérant du code malveillant ou en modifiant sa fonctionnalité. Cela peut impliquer le piratage d’un référentiel GitHub, la distribution d’un faux logiciel ou la modification d’un portefeuille matériel.
- Adoption inconsciente: Les développeurs ou plates-formes cryptographiques intègrent le composant compromis dans leurs systèmes sans se rendre compte qu’il a été modifié. Étant donné que de nombreux projets s’appuient sur des processus automatisés et des sources de confiance, l’attaque se propage non détectée.
- Exploitation utilisée: Une fois que le composant est actif dans une application en direct, il peut effectuer des actions nocives, telles que le vol de clés privées, la redirection des fonds ou la manipulation de données, lorsque les utilisateurs interagissent avec l’application ou le protocole.
- Impact large: L’attaque peut affecter de nombreux utilisateurs et plates-formes si le composant compromis est largement utilisé, amplifiant sa portée avant d’être détectée.
- Détection et réponse: La brèche n’est souvent découverte qu’après des dommages importants, comme le vol de fonds, s’est produit. La réponse directe aux attaquants et la récupération de la crypto perdue deviennent difficiles en raison de la nature anonyme et irréversible des transactions blockchain.
Saviez-vous? De nombreux attaquants de la chaîne d’approvisionnement utilisent des robots télégrammes pour recevoir des données volées comme des phrases de graines ou des clés d’API. Il est furtif, rapide et difficile à tracer, une des raisons pour lesquelles Telegram continue de se présenter dans les rapports Crypto Hack.
Attaques de chaîne d’approvisionnement malveillant ciblant les projets de cryptographie
En 2024, les attaquants ont de plus en plus utilisé des référentiels de logiciels open source (OSS) pour lancer des attaques de chaîne d’approvisionnement visant les données et les actifs des crypto-monnaies. Leur objectif était de inciter les développeurs à télécharger des packages nocifs.
Selon le «rapport de sécurité de la chaîne d’approvisionnement des logiciels de Reversing Labs», les plates-formes OSS utilisées pour les attaques comprenaient le NPM et le PYPI. Voici les détails associés:
- Référentiels ciblés: Les attaquants ont téléchargé le code malveillant sur deux plates-formes OSS largement utilisées, NPM et Python Package Index (PYPI).
- Compte de campagne: RenversingLabs (RL) a rapporté 23 campagnes liées à la crypto au total.
- Focus NPM: Hors des campagnes lancées, 14 étaient sur NPM, ce qui en fait le plus ciblé.
- Cas PYPI: Les neuf campagnes restantes ont eu lieu sur PYPI.
Il existe différents niveaux de sophistication dans les attaques. Les campagnes pourraient aller des méthodes de base et bien connues aux approches plus avancées et furtives. La typosquat est une technique courante utilisée dans les attaques de chaîne d’approvisionnement où les forfaits malveillants imitent étroitement ceux légitimes.
Exemples d’attaques de chaîne d’approvisionnement en crypto
Cette section examine quatre cas réels d’attaques de chaîne d’approvisionnement en crypto, révélant des méthodes d’attaquant et des leçons cruciales pour améliorer la sécurité:
Attaque de bitcoinlib
En avril 2025, les pirates ont ciblé la bibliothèque Bitcoinlib Python en téléchargeant des packages malveillants, «BitcoinlibdbFix» et «Bitcoinlib-Dev», à PYPI, se présentant comme des mises à jour légitimes. Ces packages comprenaient des logiciels malveillants qui ont remplacé l’outil de ligne de commande «CLW» avec une version qui a volé des clés privées et des adresses de portefeuille.
Une fois installé, les logiciels malveillants ont envoyé des données sensibles aux attaquants, leur permettant de vider les portefeuilles des victimes. Les chercheurs en sécurité ont détecté la menace en utilisant l’apprentissage automatique, empêchant de nouveaux dommages. Cet incident met l’accent sur les dangers des attaques de typosquat dans les plates-formes open source et la nécessité de vérifier l’authenticité du package avant l’installation.
AIOCPA Exploit à long terme
L’exploit «AIOCPA» était une attaque de chaîne d’approvisionnement complexe ciblant les développeurs de crypto-monnaie via l’indice de package Python (PYPI). Lancé en septembre 2024 en tant que client légitime de l’API de rémunération cryptographique, le package a gagné la confiance au fil du temps. En novembre, la version 0.1.13 a introduit le code caché qui a volé des informations sensibles, telles que les jetons API et les clés privées, l’envoyant à un bot télégramme.
Le code malveillant n’était pas présent dans le référentiel GitHub, contournant les revues de code typiques avant d’être détectées par des outils d’apprentissage automatique, conduisant à la mise en quarantaine du package. Cet incident met en évidence la nécessité d’une gestion minutieuse de la dépendance et de la détection avancée des menaces dans les plates-formes open source.
L’attaque de la chaîne d’approvisionnement @ Solana / web3.js
Dans l’une des attaques de chaîne d’approvisionnement les plus notoires en 2024, les acteurs malveillants ont compromis le package @ Solana / web3.js, une API JavaScript largement utilisée pour interagir avec la blockchain Solana. Les attaquants ont injecté du code nocif dans les versions 1.95.6 et 1.95.7, visant à voler des informations utilisateur sensibles.
Le package, avec plus de 3 000 projets dépendants et 400 000 téléchargements hebdomadaires, était une cible idéale en raison de son utilisation généralisée. Cet incident a démontré à quel point les forfaits de confiance et de grande envergure peuvent devenir des vecteurs d’attaque, posant des risques importants pour les développeurs et les utilisateurs à travers l’écosystème cryptographique.
DNS Hijack de la finance de la courbe
En 2023, Curve Finance a subi un détournement DNS par le biais de son registraire du domaine. Les attaquants ont compromis le compte registraire et modifié les enregistrements DNS, redirigeant les utilisateurs du site officiel de Curve vers un site de clone malveillant. Alors que les contrats intelligents backend sont restés sécurisés, les utilisateurs qui ont accédé aux transactions approuvées sans le savoir a approuvé sans le savoir qui a drainé leurs portefeuilles.
Cet incident a mis en évidence une vulnérabilité majeure dans Defi: bien que l’infrastructure blockchain soit sécurisée, la dépendance à des services Web centralisés comme le DNS crée des points faibles mûrs pour l’exploitation.
Saviez-vous? Dans une astuce de chaîne d’approvisionnement appelée Confusion de dépendance, les attaquants téléchargent de faux packages internes dans les registres publics. Si le système d’un développeur installe la mauvaise version, les attaquants gagnent une porte dérobée à leurs applications cryptographiques.
Comment les projets de la chaîne d’approvisionnement ont un impact sur les projets de cryptographie
Les attaques de la chaîne d’approvisionnement peuvent entraîner des pertes importantes pour les projets de crypto par le biais de fonds volés, de données utilisateur compromises et de dégâts de réputation. Ils sapent la confiance dans les systèmes décentralisés.
- Perte de fonds et d’actifs: Les attaquants peuvent insérer du code malveillant pour voler des clés privées, rediriger les transactions ou exploiter les faiblesses des portefeuilles, provoquant des pertes financières directes pour les utilisateurs et les plateformes.
- Dommages à la réputation: Un seul élément compromis peut saper la confiance. Les projets perçus comme dangereux peuvent perdre des utilisateurs, des investisseurs et des partenaires, nuisant considérablement à la croissance et à la crédibilité.
- Problèmes juridiques et réglementaires: Les violations de sécurité attirent souvent l’attention réglementaire, en particulier lorsque les fonds des utilisateurs sont affectés. Cela peut entraîner des conséquences juridiques, des audits de conformité ou des fermetures de plates-formes forcées.
- Perturbations du service: Les attaques peuvent entraîner des problèmes techniques importants, obligeant les plates-formes à suspendre les opérations, à retourner le code ou à émettre des correctifs urgents, ce qui ralentit le développement et les opérations.
- Impact plus large de l’écosystème: Si un composant largement utilisé (par exemple, bibliothèques NPM ou API) est compromis, l’attaque peut se propager sur plusieurs projets, augmentant les dégâts dans tout l’écosystème de la crypto-monnaie.
Comment empêcher les attaques de chaîne d’approvisionnement en crypto
Les attaques de chaîne d’approvisionnement en crypto-monnaie ciblent souvent des composants de confiance comme les bibliothèques, les API et les outils d’infrastructure de manière subtile. En raison de leur nature indirecte, la prévention de ces attaques nécessite des mesures proactives tout au long du développement et des opérations d’un projet.
Vous trouverez ci-dessous des pratiques clés pour protéger contre ces risques:
- Gestion du code et des dépendances: Les développeurs de crypto ne doivent utiliser les dépendances que à partir de sources de confiance et vérifiées. Les versions de verrouillage des packages et la vérification de l’intégrité des fichiers avec des sommes de contrôle peuvent empêcher les modifications non autorisées. Il est essentiel de réviser régulièrement les dépendances, en particulier celles qui accéder aux fonctions sensibles, sont essentielles. La suppression des forfaits inutilisés ou obsolètes réduit considérablement les risques.
- Sécurité des infrastructures: Pipelines CI / CD sécurisés avec des contrôles d’accès stricts et une authentification multifactorielle. CI / CD signifie une intégration continue et un déploiement continu (ou une livraison continue). Il s’agit d’un ensemble de pratiques de développement de logiciels qui aident les équipes à fournir des changements de code plus fréquemment et de manière fiable. Utilisez la signature du code pour confirmer l’authenticité de la construction du logiciel. Surveiller les paramètres DNS, les comptes d’enregistrement et les services d’hébergement pour détecter la falsification tôt. Utilisez des environnements de construction isolés pour séparer le code externe des systèmes critiques.
- Gestion des risques des vendeurs et des tiers: Évaluez les pratiques de sécurité de tous les partenaires externes, tels que les gardiens, les oracles et les prestataires de services. Collaborer uniquement avec les fournisseurs qui assurent la transparence, divulguent les vulnérabilités et détiennent des certifications de sécurité. Ayez des plans de sauvegarde prêts si un vendeur est compromis.
- Vigilance communautaire et gouvernante: Construisez une communauté de développeurs soucieuse de la sécurité en encourageant les examens des pairs et les programmes de primes. Promouvoir les contributions open source mais maintenir une gouvernance transparente. Éduquer toutes les parties prenantes sur les nouvelles méthodes d’attaque et les procédures de réponse.
