L’industrie de la blockchain a passé plus d’une décennie à se positionner comme le socle de la confiance numérique — décentralisée, transparente et immuable. Mais cette même immuabilité peut devenir une arme lorsqu’elle est exploitée par des acteurs malveillants.
Récemment, Mandiant Threat Defense et Google Threat Intelligence ont révélé une campagne menée par le groupe de menace UNC5142, qui utilise des smart contracts sur la BNB Smart Chain pour héberger et distribuer des logiciels malveillants. Ce nouveau vecteur d’attaque, surnommé « EtherHiding », marque un tournant majeur dans la manière dont les infrastructures décentralisées sont exploitées à des fins malveillantes.
Comment fonctionne l’attaque
La campagne se déroule en plusieurs étapes :
- Compromission initiale : Les attaquants piratent des sites WordPress vulnérables.
- Livraison du payload : Les scripts injectés se connectent à des contrats malveillants sur la BNB Smart Chain.
- Exécution : Ces contrats livrent des malwares (souvent des voleurs d’informations) directement depuis la blockchain vers les systèmes des victimes.
Comme le payload est stocké on-chain, il est immuable — on ne peut pas simplement « supprimer » un smart contract comme on le ferait avec un serveur ou un domaine malveillant. Une fois déployé, il reste là définitivement.
Pourquoi cela fonctionne
1. Faible coût d’entrée
Déployer un smart contract sur BNB Smart Chain peut coûter moins de 0,25 $, ce qui rend l’échelle d’attaque triviale pour les adversaires.
2. La décentralisation comme bouclier
Les réseaux décentralisés offrent résilience et résistance à la censure — les mêmes propriétés qui rendent presque impossible la suppression de code malveillant.
3. Portabilité inter-chaînes
Le concept ne se limite pas à BNB. La même technique peut être facilement migrée vers Ethereum, Polygon ou Solana, où les smart contracts et dApps sont tout aussi accessibles.
Implications pour l’industrie
Ce n’est pas qu’une campagne de plus — c’est un proof of concept démontrant que les blockchains publiques peuvent servir de plateformes de distribution de malware.
Cela nous oblige à poser des questions critiques :
- Comment surveiller et répondre à des activités malveillantes à l’intérieur des réseaux décentralisés ?
- Les explorateurs blockchain et fournisseurs RPC doivent-ils commencer à analyser les contrats suspects ?
- Comment les exchanges, wallets et dApps peuvent-ils s’assurer que leurs frontends et APIs n’interagissent pas à leur insu avec des contrats malveillants ?
La pile de sécurité traditionnelle — firewalls, listes noires de domaines, réputation IP — ne s’applique pas ici. Les données on-chain vivent pour toujours, et une fois qu’un malware est encodé dans un smart contract, il fait partie du registre lui-même.
La voie à suivre
L’écosystème crypto doit commencer à considérer les blockchains comme une surface d’attaque.
Cela implique :
- Intégrer le renseignement de menaces on-chain dans les pipelines SOC.
- Construire des heuristiques pour identifier les comportements anormaux de contrats.
- Coordonner avec les principaux opérateurs de chaînes et fournisseurs RPC pour signaler les déploiements malveillants.
Sur notre exchange, nous étendons déjà nos outils internes de monitoring pour inclure la détection d’anomalies on-chain — en scannant les payloads malveillants et interactions liés à notre écosystème.
La frontière entre « smart contract » et « hébergeur de malware » s’efface rapidement.
Réflexions finales
La technologie blockchain a été construite sur l’idée d’une infrastructure sans confiance, mais trustless ne signifie pas inoffensif.
À mesure que la frontière entre cybersécurité et systèmes décentralisés disparaît, il incombe à l’industrie d’évoluer plus vite que les attaquants.
L’avenir de la sécurité blockchain ne consiste pas seulement à protéger les actifs — il consiste à sécuriser les chaînes elles-mêmes.
