Une utilisatrice de X, connue sous le pseudonyme Princess Hypio, a déclaré avoir perdu 170 000 $ en cryptomonnaies et NFTs après être tombée dans le piège d’un escroc infiltré dans un serveur Discord. L’escroc s’est fait passer pour une connaissance commune et l’a convaincue de jouer à un jeu sur Steam, tout en accédant clandestinement à ses fonds et à son compte Discord.
Le mécanisme du scam « Try my game »
Ce type d’escroquerie, déjà signalé depuis plusieurs années sous différentes formes, consiste à s’infiltrer dans une communauté en ligne, à observer les interactions et à gagner la confiance des membres avant de les cibler. Le hacker commence généralement par poser des questions sur les possessions de cryptomonnaies ou de NFTs afin d’identifier les victimes potentielles. Dans le cas de Princess Hypio, l’auteur a remarqué qu’elle possédait un NFT « Mily », ce qui l’a rendue une cible privilégiée.
Étapes typiques du scam
- Infiltration d’un serveur Discord ou d’un groupe de discussion.
- Observation des échanges pour repérer les détenteurs d’actifs numériques.
- Prise de contact en se faisant passer pour un ami ou un collègue.
- Invitation à jouer à un jeu, souvent via un lien vers un serveur contenant un cheval de Troie.
- Installation du malware, qui permet de voler les informations personnelles et de vider les portefeuilles liés.
Dans l’affaire décrite, l’escroc a proposé d’acheter le jeu sur Steam pour la victime. Le jeu lui‑même était légitime, mais le serveur qui l’hébergeait était infecté, permettant aux attaquants de prendre le contrôle du dispositif et de siphonner les fonds.
Princess Hypio a ainsi perdu 170 000 $ en cryptomonnaies et NFTs. Cette perte intervient quelques jours seulement après que Discord ait publié une explication de sa politique contre les pratiques trompeuses, rappelant que la promotion ou l’exécution d’escroqueries financières viole les conditions d’utilisation de la plateforme.
« Ces escroqueries n’exploitent pas le code, elles exploitent la confiance », explique Nick Percoco, chief security officer de Kraken. « Les attaquants s’immergent dans les communautés, en apprennent la culture, imitent des amis de confiance, puis frappent. »
Gabi Urrutia, chief information security officer chez Halborn, ajoute que cette technique combine ingénierie sociale et malware. Bien qu’elle ne soit pas « très sophistiquée », elle est insidieuse du fait de l’« abus de la confiance entre membres d’une communauté ». Elle souligne que, même si le volume reste inférieur au phishing traditionnel, ce type d’attaque se répand de plus en plus dans les milieux Web3 et gaming, où la confiance pair‑à‑pair et les actifs de grande valeur cohabitent.
Le phénomène ne se limite pas à la cryptomonnaie. En février, un utilisateur nommé RaeTheRaven a signalé sur le forum de Malwarebytes avoir été victime du même stratagème après avoir cliqué sur un lien envoyé par une personne qu’il croyait amie. Un forum Reddit lancé en juillet met également en garde contre les escroqueries ciblant les joueurs.
Selon Percoco, la meilleure défense consiste à adopter un scepticisme sain, à vérifier les identités via un canal différent, à éviter l’exécution de logiciels inconnus et à se rappeler que « ne rien faire est souvent plus sûr que de prendre un risque ». Urrutia recommande quant à elle des habitudes spécifiques : réfléchir avant de signer quoi que ce soit, limiter les privilèges d’accès, et ne pas utiliser le même appareil pour le jeu et la gestion de portefeuilles.
« Du côté communautaire, il faut aussi agir : restreindre les messages privés provenant d’inconnus, vérifier les nouveaux membres et renforcer la culture de la sécurité. Le défi majeur n’est pas technologique, mais culturel, » conclut-elle.
Par ailleurs, Percoco signale que, si les escroqueries sur Discord augmentent, une tendance encore plus répandue concerne les fausses campagnes de recrutement. En juin, un acteur malveillant affilié à la Corée du Nord a ciblé des candidats du secteur crypto avec un logiciel malveillant destiné à dérober les mots de passe des portefeuilles et des gestionnaires de mots de passe.
« L’usurpation d’identité sur Discord monte en flèche, mais la tendance la plus répandue aujourd’hui est le faux recrutement, où les victimes sont attirées par des offres d’emploi puis piégées via des liens de phishing, » indique Percoco.
Urrutia précise que le volume le plus important de scams observés par Halborn implique la signature aveugle, le phishing d’approbation et des variantes similaires, toutes « des évolutions d’une même idée » : ne pas forcer le vol de la clé, mais inciter l’utilisateur à la remettre volontairement.
