• CRYPTOMANCIEN
  • Posts
  • 🚹 Le hack le plus sophistiqué de l'écosystème

🚹 Le hack le plus sophistiqué de l'écosystème

Author

Cryptomancien
March 21, 2025

Amis lecteurs,

Un ami a Ă©tĂ© l’objet d’une attaque si sophistiquĂ©e que je ne sais pas par oĂč commencer.

Le mode opĂ©ratoire implique un acteur malveillant chez l’exchange, un faux support agressif et un FAI (fournisseur d’accĂšs Internet) malveillant ou compromis.

Avant d’aller plus loin, je dois simplifier quelques notions un peu techniques.

Code HTTP

HTTP est le protocole par lequel nos machines communiquent sur Internet.

La communication se fait au travers d’un client (navigateur, smartphone, script Python) et d’un serveur (site ou service consultĂ©).

Cette communication est un jeu de requĂȘte/rĂ©ponse entre les deux machines.

La rĂ©ponse est composĂ©e d’un code et d’un contenu.

Exemple simple:
Votre navigateur demande un article Ă  un blog.

Ce navigateur est donc un client faisant une requĂȘte Ă  un serveur.

Le serveur mouline, va chercher dans sa base de donnĂ©es l’article en question, puis renvoie au navigateur deux Ă©lĂ©ments: le contenu de l’article (texte, images, liens
) et un code.

On rencontre plus souvent les codes 200 car ils reprĂ©sentent une requĂȘte traitĂ©e avec succĂšs.
Quelques exemples connus:

Code

Message

Signification

200

OK

RequĂȘte traitĂ©e avec succĂšs.

201

Created

RequĂȘte traitĂ©e avec succĂšs et crĂ©ation d’un document.

204

No Content

RequĂȘte traitĂ©e avec succĂšs mais pas d’info Ă  renvoyer.

Autre exemple ultra connu: la fameuse erreur 404.

Pareil que le prĂ©cĂ©dent exemple, le serveur reçoit la requĂȘte, mouline la base de donnĂ©es, mais cette fois elle ne trouve pas l’article.

Le serveur renvoie donc un code 404.

Pour rĂ©sumer de maniĂšre trĂšs succincte, le code HTTP est la rĂ©ponse renvoyĂ©e par le serveur aprĂšs le traitement d’une requĂȘte.

Pour plus de détails, Google Chat GPT est votre ami.

API

Une API, ou Application Programming Interface, est une interface permettant de brancher deux programmes entre eux afin d’échanger de la donnĂ©e.

Pour faire plus concret, une plateforme laisse ouverte des routes à tous les programmes qui s’y connectent.

Dans le cas d’un exchange, on a souvent une route pour lister les marchĂ©s, une route pour rĂ©cupĂ©rer les infos d’un marchĂ©, une autre route pour placer un ordre, une autre pour annuler son ordre etc


Route

Permission

Description

/api/markets

Public

Lister les marchés

/api/markets/btc-usdt

Public

Avoir les infos, du marchĂ© BTC-USDT, historique, carnet d’ordres

/api/order

Account

Placer un nouvel ordre

/api/order/:id

Account

RĂ©cupĂ©rer l’ordre par son identifiant

/api/order/:id/cancel

Account

Annuler l’ordre par son identifiant


Exemple simple:
Un tradeur veut acheter 0,04 BTC au prix de 81000 $.

Il a deux possibilités.

La premiÚre est par interface graphique, il se connecte via la page de login, va dans le marché BTC et remplit à la main le formulaire.

La seconde est par API.

Il a par exemple un script Python, il le connecte à la route prévue par la plateforme.

Son script passe en argument le cĂŽtĂ© de l’ordre, le prix et la quantitĂ©.

La plateforme traite la requĂȘte, fait des vĂ©rifications, ajoute une entrĂ©e au carnet d’ordres puis renvoie un code HTTP (encore lui).

Pour faire trùs succinct là aussi, l’API est l’outil par lequel l’utilisateur interagit avec la plateforme sans passer par l’interface graphique.

NonKYC.io a une documentation accessible pour comprendre certains concepts.

Outil de trading automatisé

Notre ami a tĂ©lĂ©chargĂ© et installĂ© l’outil de trading que je vous partage dans l’espace pro.

Il a ensuite créé sa clé API et changé le fichier de configuration comme dans le tutoriel.

ParenthĂšse sur le logiciel et son code source:
Le lectorat de cette lettre est de qualitĂ©, mais au cas oĂč elle serait lue par des gens au quotient intellectuel limitĂ©, je dois prĂ©ciser que non il n’y a pas de trojan mouchard ou autre malware.
Je suis dans une logique de transparence absolue avec mes soutiens.
Tout le code source est donc public, auditable, contrĂŽlable et testable.

Autre parenthĂšse sur la fonctionnement:
Le terme “trading” est souvent synonyme de contrat futur à effet de levier.
Mon logiciel ne touche pas aux futures.
Il enchaßne les achats/reventes et cumule les gains sur chaque itération.
Simple et efficace.

DĂ©but du calvaire

AprÚs avoir tout paramétré, notre ami lance le programme.

Ce dernier se connecte à l’API, puis affiche une erreur improbable. 

{
  "code": 30035,
  "msg": "You have triggered the order limit, please contact us by submitting a ticket"
}

Notre ami contacte donc le support officiel [email protected]

Le message du support le redirige vers un obscur canal Telegram.

À la minute oĂč il poste son message, une horde d’escrocs professionnels lui saute dessus en le contactant par message privĂ©.

Le malheureux est désarçonné, clique sur un lien et est redirigé vers ce site malveillant.

Regardons l’adresse suivante : mexc.user-rectification.com

Le nom de domaine, user-rectification.com, est gĂ©nĂ©rique et prĂȘte bien Ă  confusion.

Le tout dĂ©but de l’adresse, “mexc. ”, indique que les escrocs ont un sous-domaine par service.

Le site d’hameçonnage a une charte graphique cohĂ©rente avec Mexc.

Logo, couleurs, typographie, icĂŽnes, rien n’est laissĂ© au hasard.

Les escrocs utilisent un numéro de téléphone mexicain pour maintenir la confusion Mexc/Mexico

La connexion à l’espace membre du site frauduleux se fait par Metamask.

AprĂšs un Ă©change en anglais sur Telegram, notre ami y laisse ses accĂšs et se fait vider ses wallets Metamask et Mexc.

Retour sur l’erreur initiale

L’erreur initiale Ă©tait le code 30035.

Ce code n’existe pas dans la documentation de l’API.

On a un code 30025, 26, 27, 28, 29, 32, 41, mais aucun code 30035.

Comment notre ami a-t-il reçu une erreur inexistante chez Mexc ?

La réponse se trouve en partie chez son FAI : Starlink.

Il est trùs fort probable que Starlink soit à l’origine d’une redirection vers un site frauduleux.

Pour l’instant je n’ai pas plus de dĂ©tail sur cette redirection.

L’avis d’un expert en cybersĂ©curitĂ© et rĂ©seau serait le bienvenu.

Résumé

En rĂ©sumĂ©, notre ami pense ĂȘtre connectĂ© Ă  l’API officielle Mexc.

Sa requĂȘte est redirigĂ©e par Starlink vers un service malveillant qui lui envoie un faux code d’erreur.

L’erreur affichĂ©e indique de contacter au plus vite le support, ce qu’il a fait.

La personne du support le redirige vers un canal Telegram.

Et Ă  partir de lĂ  il est harcelĂ© d’appels, se fait redirigĂ© vers un site frauduleux, cĂšde et donne tous ses accĂšs.

Cette attaque trĂšs bien ficelĂ©e est un assemblage entre un rĂ©seau tĂ©lĂ©com compromis, un acteur malveillant au service support et un groupe d’escrocs utilisant Telegram.

Pour moi le groupe d’escrocs n’est pas du brouteur africain.

On est clairement un niveau au-dessus.

Dùs que j’ai plus d’informations, je vous en fais part.

En attendant, si vous vous sentez l’ñme d’un enquĂȘteur, l’adresse Ethereum des escrocs est la suivante:
0x86DD5bBff3bB3EA2f9e6072601D4b66977eF3807

D’aprùs etherscan.io une partie des fonds se trouve aujourd’hui chez ByBit.

L’enquĂȘte continue.

À la semaine prochaine,
Cryptomancien