Une opération d’hameçonnage a compromis le compte X de Ye Chen, fondateur de Scroll, et l’a utilisé pour cibler des personnalités de l’industrie des cryptomonnaies. Les attaquants ont pris le contrôle du compte et l’ont exploité comme un canal de communication fiable pour diffuser des messages malveillants. L’incident se focalisait sur des tactiques d’usurpation visant à exploiter les mécanismes internes de confiance de la plateforme. L’activité a été détectée et signalée publiquement, incitant à ignorer les communications émanant du compte compromis.
Les attaquants se sont faits passer pour des employés de la plateforme X et ont contacté des destinataires en prétendant à des violations de droits d’auteur. Ces messages menaçaient des restrictions de compte à moins que les destinataires ne cliquent sur des liens fournis dans un délai de 48 heures. Pour renforcer leur crédibilité, les attaquants ont modifié la biographie du profil de Ye Chen en mentionnant Twitter et nCino, et ont inondé le fil du compte avec des reposts provenant de comptes X vérifiés. Cette combinaison de modifications de profil et de contenu republié visait à créer une apparence de légitimité.
Après ces étapes préparatoires, les attaquants ont envoyé des messages directs semblant provenir de l’équipe de gestion des droits de X. Ces messages contenaient de fausses alertes de conformité et des appels urgents liés au temps, redirigeant les destinataires vers des liens malveillants. L’opération d’hameçonnage reposait entièrement sur ces liens pour compromettre les cibles, sans exploiter de vulnérabilités dans la plateforme X elle-même. La prise de contrôle du compte a ensuite été identifiée, et la communauté a été incitée à ignorer tous les messages provenant du compte affecté.
L’incident a été signalé dans le cadre d’un schéma plus large d’attaques d’ingénierie sociale ciblant des comptes liés aux cryptomonnaies. Des violations similaires ont affecté des comptes associés à BNB Chain, au WeChat de Yi He, à ZKsync, Matter Labs, et Watcher.Guru. Dans ces cas, les attaquants ont utilisé des techniques comparables pour diffuser de fausses affirmations, promouvoir des programmes frauduleux ou distribuer des liens de phishing. Le ciblage répété de comptes très visibles souligne l’attention continue portée à l’exploitation des identités de confiance au sein de l’écosystème crypto.
Les tactiques signalées dans ces incidents incluent l’abus d’accès délégué aux comptes, l’enregistrement de domaines expirés, ainsi que des méthodes capables de contourner l’authentification à deux facteurs. Dans un cas, les attaquants ont utilisé un compte WeChat compromis pour promouvoir une meme coin appelée MUBARA, créant des portefeuilles peu avant la violation et vendant ensuite les jetons accumulés. Dans un autre cas, de fausses affirmations concernant une enquête de la SEC et un faux airdrop ont été publiées, contribuant à une baisse temporaire signalée du prix d’un jeton. Des bots automatisés ont également été utilisés dans d’autres incidents pour diffuser de fausses annonces de partenariat.
Des rapports supplémentaires ont relié des méthodes similaires d’ingénierie sociale à des compromissions en dehors des plateformes de médias sociaux. Parmi les exemples, des comptes d’éditeurs piratés ont été utilisés pour distribuer des mises à jour malveillantes de logiciels via des canaux de confiance. Ces attaques reposaient sur la confiance établie des comptes existants plutôt que sur une nouvelle infrastructure. Au moins deux cas confirmés impliquaient des malwares conçus pour voler des cryptomonnaies par le biais de ces mécanismes de mise à jour.
Les statistiques criminelles plus larges fournissent un contexte sur l’ampleur de ces menaces. Plus de 3,4 milliards de dollars ont été signalés volés en 2025, avec une part importante des compromissions de services attribuée à des opérations liées à des États. Les pertes cumulées imputées à ces groupes ont atteint plusieurs milliards de dollars au fil du temps. Les compromis de portefeuilles personnels ont également augmenté considérablement, en partie à cause de la pollution d’adresses et des fuites de clés privées, y compris un incident unique impliquant une perte de 50 millions de dollars.
