Points clés à retenir
- Un pirate informatique a volé des centaines de NFT aux utilisateurs d’OpenSea la nuit dernière.
- Bien qu’un rapport post-mortem n’ait pas encore été publié, l’équipe d’OpenSea a affirmé que le pirate avait exécuté une attaque de phishing pour voler les NFT.
- L’incident est un autre rappel des risques de l’auto-garde dans Web3.
Le pirate a volé des centaines de NFT de grande valeur dans des collections recherchées telles que Bored Ape Yacht Club, Azuki et NFT Worlds.
Les utilisateurs d’OpenSea ciblés par le piratage NFT
Un pirate informatique a volé des millions de dollars de NFT aux utilisateurs d’OpenSea la nuit dernière.
L’attaquant a ciblé environ 32 collectionneurs sur le premier marché NFT et vidé leurs portefeuilles Ethereum. Les données en chaîne publiées par Peckshield montrent qu’ils ont volé plus de 250 pièces de collections de grande valeur comme Bored Ape Yacht Club, Doodles, Azuki et NFT Worlds. Sur la base des prix planchers des collections, Briefing sur la cryptographie a estimé que le transport total valait plus de 1 000 Ethereum, soit 3 millions de dollars. Le portefeuille de l’attaquant contient actuellement 641 Ethereum d’une valeur d’environ 1,7 million de dollars, ainsi qu’une sélection des NFT volés.
La nouvelle de l’attaque est apparue pour la première fois sur Twitter tard samedi lorsque les utilisateurs ont signalé une activité suspecte liée à leurs comptes. La rumeur disait initialement que l’exploit était lié à un contrat intelligent vers lequel les utilisateurs d’OpenSea ont migré leurs NFT au cours des dernières semaines. Cependant, OpenSea a signalé une probable attaque de phishing.
Nous enquêtons activement sur les rumeurs d’un exploit associé aux contrats intelligents liés à OpenSea. Cela semble être une attaque de phishing provenant de l’extérieur du site Web d’OpenSea. Ne cliquez pas sur les liens en dehors de https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) 20 février 2022
L’équipe s’est rendue sur Twitter tôt dimanche pour annoncer qu’elle « enquêtait activement » sur les rumeurs et qu' »une attaque de phishing en dehors du site Web d’OpenSea » en était la cause probable. Devin Finzer, PDG d’OpenSea mentionné que l’équipe « menait une enquête tous azimuts » et que les 32 utilisateurs concernés avaient subi une attaque de phishing. Plus tôt ce matin, Finzer a réitéré sa conviction qu’il s’agissait d’une attaque de phishing. « Nous sommes convaincus qu’il s’agissait d’une attaque de phishing », a-t-il écrit. La société d’analyse de sécurité PeckShield a également enquêté sur l’incident et partagé la vue qu’une escroquerie par hameçonnage en était probablement la cause profonde.
NFT Hack expose les risques Web3
Bien qu’une analyse post-mortem complète n’ait pas encore été publiée, les utilisateurs d’Ethereum foobar et isotile posté des tempêtes de tweet détaillant les mouvements probables de l’attaquant. Les données en chaîne montrent qu’ils ont déployé un contrat intelligent le 22 janvier qui utilisait un appel au contrat d’OpenSea. On pense qu’ils ont trompé les utilisateurs pour qu’ils signent une transaction transférant leurs NFT dans le portefeuille du pirate, probablement en envoyant un e-mail reproduisant ceux qu’OpenSea envoie. Une fois qu’ils ont dupé un nombre suffisant de collecteurs NFT pour qu’ils signent la transaction malveillante, ils ont exécuté l’attaque pour vider leurs portefeuilles. Alors qu’une attaque de phishing n’a pas encore été confirmée, l’incident expose les risques liés à l’utilisation de Web3, où la signature de toute transaction Ethereum malveillante peut avoir des conséquences désastreuses.
Ces derniers mois, de nombreux détenteurs de Bored Ape Yacht Club ont perdu leurs NFT de grande valeur dans des attaques similaires après avoir cédé leurs actifs. Alors que les NFT ont suscité l’intérêt du grand public et que leurs prix ont grimpé en flèche, les pirates se sont de plus en plus tournés vers l’espace pour cibler les collectionneurs. La plupart des utilisateurs d’OpenSea concernés ont été victimes d’attaques de phishing qui les ont incités à signer des contrats malveillants. Malgré tous les avantages des portefeuilles d’auto-conservation et de la décentralisation, de telles attaques soulèvent des questions quant à savoir si la crypto et les NFT sont vraiment prêts pour une adoption massive. Même lorsque les détenteurs de crypto utilisent un portefeuille matériel pour stocker leurs actifs, ils ne sont pas nécessairement protégés contre les escroqueries aux contrats intelligents. Pour les collectionneurs, les hacks NFT comme celui-ci rappellent l’importance de faire preuve de prudence à tout moment dans Web3, en particulier lorsqu’il s’agit de vérifier les e-mails et de signer des transactions.
Divulgation: Au moment de la rédaction de cet article, l’auteur de cette fonctionnalité possédait ETH et plusieurs autres crypto-monnaies.