Points clés à retenir
- Un pirate informatique a volé des millions de dollars de NFT aux utilisateurs d’OpenSea au cours du week-end.
- On pense que le pirate informatique a amené les utilisateurs à approuver des transactions qui ont permis à leur portefeuille d’être vidé par une attaque de phishing élaborée.
- Il y a plusieurs étapes à suivre pour atténuer le risque d’être victime de tels incidents dans Web3.
Un pirate informatique a volé des millions de dollars de NFT aux utilisateurs d’OpenSea au cours du week-end. L’incident a mis en évidence l’importance de la sécurité opérationnelle dans Web3.
OpenSea Hack met en évidence les risques de sécurité
Le 19 février, plusieurs utilisateurs d’OpenSea ont signalé que leurs portefeuilles avaient été vidés de précieux NFT provenant de collections telles que Bored Ape Yacht Club et Azuki. La valeur totale du transport a été estimée à environ 3 millions de dollars. Le lendemain, OpenSea a déclaré qu’il pensait que la cause première était une attaque de phishing qui provenait « de l’extérieur d’OpenSea ».
L’attaque visait 32 utilisateurs. On pense qu’ils ont été incités à cliquer sur des liens malveillants pour signer un contrat intelligent malveillant autorisant le transfert de leurs NFT vers un autre portefeuille. En conséquence, le pirate a pu drainer plus de 250 NFT en quelques heures.
OpenSea utilise des signatures hors chaîne pour exécuter des transactions sans gaz au nom de ses utilisateurs. Ils peuvent être exécutés automatiquement, ce qui signifie que les utilisateurs n’ont pas besoin d’être en ligne pour qu’un ordre NFT soit rempli. On pense que le pirate informatique a amené les victimes à signer des transactions avec Wyvern, un protocole d’échange NFT utilisé par OpenSea.
Un développeur Solidity pseudonyme connu sous le nom de foobar a posté une tempête de tweets à la suite de l’incident au cours duquel ils ont déclaré que les victimes avaient signé un code malveillant permettant au pirate de drainer les NFT vers une « adresse cible » qu’ils contrôlaient. Pour convaincre les victimes de signer le code, on pense qu’elles se sont fait passer pour OpenSea via un e-mail ou un autre format de communication.
L’incident met en évidence la nécessité de faire preuve de prudence lors de la signature de transactions de contrats intelligents. Il sert également de rappel des risques présents dans chaque coin de Web3 et de l’importance pour les utilisateurs de se renseigner sur les menaces dans le paysage en évolution. Pour atténuer les risques d’être victime de telles attaques, les utilisateurs Web3 actifs peuvent prendre plusieurs mesures pour se protéger.
Révoquer les autorisations
Comme première étape vers la sécurisation des NFT ou d’autres actifs cryptographiques, il est important de savoir comment révoquer les autorisations associées à un portefeuille cryptographique. Les attaques de phishing comme le hack OpenSea sont une préoccupation majeure car la signature d’une seule signature malveillante peut entraîner la perte de chaque NFT stocké dans un portefeuille. Si vous négociez sur OpenSea et autorisez la signature hors chaîne avec le contrat Wyvern Exchange V1, la révocation de l’autorisation de dépenser les fonds est un moyen de réduire le risque qu’un pirate informatique draine des fonds sur le contrat.
Les utilisateurs peuvent révoquer les autorisations de portefeuille en accédant à la page d’approbation de jeton sur Etherscan, en connectant leur portefeuille et en trouvant les approbations de jeton pour chaque application avec laquelle le portefeuille a interagi.
Évitez les signatures aveugles
À la suite du piratage d’OpenSea, le directeur de la technologie de la société, Nadav Hollander, a déclaré dans un tempête de tweets que des signatures valides des victimes ont été exploitées sur le contrat Wyvern V1 (avant la migration d’OpenSea vers Wyvern V2.3). Les utilisateurs « ont signé une commande quelque part, à un moment donné, à un moment donné », a-t-il déclaré. Cela suggère que les victimes ont peut-être signé par inadvertance des contrats malveillants.
Dans le passé, les attaques de crypto-phishing ont incité les utilisateurs à entrer la phrase de départ de leur portefeuille, permettant au pirate d’accéder à leur portefeuille et de voler les fonds. Dans certains cas, les pirates ont obtenu la permission de dépenser des fonds en attirant les utilisateurs avec de faux parachutages. Le dernier incident OpenSea était différent car le pirate a tenté plusieurs collecteurs à la fois. Cela montre qu’en plus d’être prudent avec les phrases de départ, les utilisateurs doivent être prudents lorsqu’ils signent des messages hors chaîne et interagissent avec des contrats suspects.
Une fois qu’une signature est signée, un tiers peut dépenser des fonds au nom des utilisateurs même si les fonds sont détenus dans un portefeuille matériel. Par conséquent, il est crucial que les utilisateurs fassent attention lors de l’exécution de signatures sans gaz sur OpenSea ou d’autres applications. Certains experts de la blockchain recommandent de ne pas approuver toutes les signatures aveugles.
Ces signatures contiennent uniquement un code hexadécimal qui n’apparaît que sous la forme d’une adresse Ethereum ; ils ne fournissent pas de détails supplémentaires sur la transaction. Les signatures EIP-712, cependant, donnent plus de clarté car elles montrent des données transactionnelles complètes liées au moment d’une demande de signature. Par Hollanderle format EIP-712 fourni avec les contrats OpenSea récemment migrés rend « beaucoup plus difficile pour les mauvais acteurs d’inciter quelqu’un à signer une commande sans s’en rendre compte ».
Méfiez-vous de mélanger Web3 et e-mails
Dans le cadre de l’incident OpenSea, plusieurs rapports de campagnes d’e-mails de phishing ont fait surface. On pense que le pirate a envoyé un e-mail se faisant passer pour OpenSea les exhortant à autoriser une migration de leurs listes NFT vers le nouveau contrat Wyvern. Après avoir cliqué, il apparaît que les utilisateurs ont signé des transactions qui ont donné au pirate la permission de vider leur portefeuille.
Grâce à la montée de faux e-mails profonds, les pirates ont trouvé des moyens d’envoyer des e-mails qui semblent ressembler à n’importe quel domaine de messagerie qu’ils aiment. Les utilisateurs doivent se méfier de tous les e-mails qui demandent une transaction de MetaMask ou de tout autre portefeuille Web3, même s’il semble provenir d’une source officielle. L’un des meilleurs conseils en matière de sécurité opérationnelle est d’éviter d’interagir avec les applications Web3 en utilisant des liens postés par e-mail ou sur les réseaux sociaux. En fait, il est préférable d’éviter de cliquer sur des liens liés à la cryptographie à moins qu’ils ne proviennent d’une source officielle.
En plus de faire preuve de prudence lors de la signature de transactions et d’éviter les attaques de phishing, les utilisateurs de cryptographie peuvent prendre d’autres mesures pour rester protégés. C’est une bonne idée, par exemple, de déplacer des actifs de grande valeur tels que les NFT vers des périphériques de stockage à froid qui n’interagissent avec aucune application. Pour en savoir plus sur la protection des NFT contre les pirates, consultez la fonction de guide du débutant.
Divulgation: Au moment de la rédaction de cet article, l’auteur possédait des ETH et d’autres crypto-monnaies.