MetaMask a démenti avoir envoyé un message on-chain largement relayé, qui semblait se moquer de Jaredfromsubway, l’opérateur Ethereum MEV récemment victime d’un hack honeypot de 15 millions de dollars.
Le fournisseur de wallet a précisé que ce message provenait d’un nom similaire sur l’Ethereum Name Service (ENS), et non d’une de ses adresses officielles. Cette confusion a mis en lumière une faille de conception dans l’affichage des noms ENS sur la plupart des plateformes.
Usurpation d’identité ENS derrière la confusion autour du nom MetaMask
La plupart des plateformes convertissent les identifiants ENS en lettres minuscules avant de les afficher. Cette convention masque une différence essentielle. « MetaMask.eth » avec des majuscules et le « metamask.eth » authentique apparaissent identiques pour la majorité des utilisateurs. Pourtant, ces deux noms renvoient à des adresses totalement différentes on-chain.
Le nom d’usurpateur a rejeté la menace juridique de Jaredfromsubway, avançant que la plainte n’aurait aucune validité devant un tribunal. MetaMask a confirmé sur X qu’il n’était en aucun cas impliqué dans l’envoi de ce message.
MetaMask clarifie sa position après le hack de Jaredfromsubway
Jaredfromsubway avait déjà proposé à l’attaquant un accord de white hat à 50 %, assorti d’un ultimatum de 48 heures. Il menaçait de poursuites judiciaires si les fonds n’étaient pas restitués. L’histoire de l’hémorragie du bot MEV sur Ethereum a suscité beaucoup d’intérêt au sein de la communauté DeFi. Cette médiatisation a fait de l’incident une cible de choix pour les usurpateurs.
L’attaquant ne montre aucun signe d’acceptation de l’offre. Les données on-chain indiquent que 5,1 millions de dollars sur les 7,5 millions volés ont déjà été transférés vers Tornado Cash. Les fonds y sont entrés sous forme de 2 000 ETH, répartis sur 20 transactions de 100 ETH chacune. Selon un analyste blockchain, l’attaquant a également échangé les 1 422 ETH restants contre 2,44 millions de dollars en DAI.
Ce hack honeypot de bot MEV soulève de nouvelles questions sur les risques encourus par les opérateurs MEV dans un environnement concurrentiel. Cependant, l’usurpation de MetaMask révèle une tout autre problématique, indépendante de la mécanique MEV. Elle met en avant une vulnérabilité du système de noms dont n’importe quel utilisateur d’Ethereum peut être victime.
Une faille de conception ENS qui expose les utilisateurs d’Ethereum
Les noms ENS suivent une norme de normalisation qui convertit tous les caractères majuscules en minuscules. Ce processus rend les noms insensibles à la casse au niveau de l’affichage, mais les enregistrements distinguent toujours les différentes combinaisons de majuscules et de minuscules. Ainsi, une personne mal intentionnée ayant enregistré « MetaMask.eth » détient un nom ENS techniquement valide et dispose d’une revendication légitime, au sens strict du protocole.
L’ENS n’interdit pas l’enregistrement de noms qui ne diffèrent de ceux existants que par la casse. Des acteurs malveillants peuvent donc enregistrer à l’avance ces noms ressemblants et les activer lors d’événements très médiatisés. La vague de hacks crypto de juin a d’ailleurs déjà révélé des schémas similaires d’attaques par ingénierie sociale en lien avec des incidents publics.
Une tendance plus large en matière de sécurité DeFi
En parallèle, les initiatives de sécurité crypto au niveau exécutif se concentrent principalement sur les standards cryptographiques. Les vulnérabilités liées à l’affichage des noms échappent pour l’essentiel à ce champ réglementaire, laissant un vide que les développeurs et les fournisseurs de wallets doivent combler de leur propre chef.
L’incident MetaMask s’inscrit dans une tendance que l’on observe à l’échelle de la DeFi. Les attaquants exploitent systématiquement l’écart entre ce que les interfaces affichent et ce que les protocoles exécutent réellement. Les pertes dans les protocoles de prêt DeFi illustrent le même phénomène sur un plan structurel. Tant que le secteur n’aura pas comblé ces failles, l’usurpation au niveau de l’affichage restera un vecteur d’attaque peu onéreux et potentiellement très rentable.
