Titres Titres
Un utilisateur de Twitter sous le pseudonyme « Domenic Iacovone » a partagé des détails sur la façon dont une simple escroquerie par vishing a conduit à la perte de ses NFT. Iacovone a maintenant lancé des accusations répétées contre MetaMask et ConsenSys au cours des dernières 24 heures.
Le 15 avril, une vulnérabilité de sécurité MetaMask a été révélée lorsqu’un investisseur en crypto a déposé une plainte contre Twitter. Il a déclaré avoir perdu plus d’un demi-million de livres après un appel téléphonique d’un numéro identifié comme « Apple ». Il s’agissait, bien sûr, d’une identification de l’appelant usurpée. Domenic dit que les attaquants ont demandé un code immédiatement envoyé sur son téléphone. 2 secondes plus tard ; tout son portefeuille MetaMask a cessé d’exister.
Les précieux jetons non fongibles de Domenic Iacovone se trouvaient dans le portefeuille exploité. Il a mentionné ce qui suit :
MAYC 28478, MAYC 8952, MAYC 7536, chat de gouttière 2280, 2769, 2325 et 100 000 en pièce de singe.
Allégation MetaMask de Domenic
Ce qui a commencé comme un appel à l’aide a révélé une possible faille de sécurité MetaMask. Lorsque de nouveaux utilisateurs ouvrent un portefeuille, MetaMask leur attribue une phrase de départ hautement confidentielle qui doit être privée. Les phrases de départ sont pratiques en cas de restauration d’un portefeuille ou de changement d’appareil. Inconnu de la plupart des utilisateurs d’Apple, iCloud sauvegarde également automatiquement les phrases de départ cryptées. Par la suite, un accès non autorisé à votre iCloud augmente le risque de découverte de sa phrase de départ et de vol. La victime de la fraude n’était pas au courant de ce paramètre.
Domenic Iacovone est Positionner pour prendre un cas avec MetaMask. Cependant, MetaMask n’a jamais fourni de réponse directe aux tweets. Au lieu de cela, ils ont publié un processus étape par étape de désactivation de la sauvegarde iCloud pour les données cloud 2 jours plus tard. Ils tweeté:
Si vous voulez éviter qu’iCloud ne vous surprenne avec des sauvegardes non demandées à l’avenir, vous pouvez désactiver cette fonctionnalité dans Paramètres> Identifiant Apple/iCloud> Sauvegarde iCloud.
Vous pouvez désactiver les sauvegardes iCloud pour MetaMask spécifiquement en désactivant la bascule ici :
Paramètres > Profil > iCloud > Gérer le stockage > Sauvegardes.
2/3– MetaMask 🦊💙 (@MetaMask) 17 avril 2022
L’absence de réponse de Metamask à l’arnaque est un peu préoccupante, selon certaines de ses réponses, car il semble que l’équipe pourrait contourner la responsabilité. ConsenSys, une société de logiciels de blockchain Ethereum, est également la cible de la fureur de Domenic. Domenic a exprimé sa rage en ajoutant :
Ne nous dites pas de ne jamais stocker notre phrase de départ numériquement et de le faire ensuite dans notre dos. Si 90% des gens le savaient, je parierais qu’aucun d’entre eux n’aurait l’application ou iCloud activé.
Nous devons tenir @ConsenSys et @MetaMask responsable de cela. https://t.co/k1GzY2EIRp
– Domenic Iacovone (@revive_dom) 19 avril 2022
Susceptibilité et manque de vigilance
Plusieurs utilisateurs de Twitter se sont moqués de la nature de l’escroquerie. Cependant, selon le rapport sur les tendances des menaces à la cybersécurité de Cisco en 2021, plus de 240 000 personnes sont victimes d’attaques similaires. Une mauvaise sensibilisation à la sécurité et une complaisance envers la lecture des politiques de l’entreprise sont probablement des facteurs contributifs à ces événements. L’ignorance de la victime compense l’absence de sa sophistication. Pour quelqu’un qui dispose d’un si grand nombre d’actifs, beaucoup pensent que Domenic aurait dû être plus vigilant.
Quelle est la voie à suivre ?
Domenic Iacovone a mis en place une récompense de 100 000 $ pour la récupération des fonds volés. Les utilisateurs de Domenic et de Twiiter ont également marqué OpenSea pour signaler les NFT volés. OpenSea dispose de deux mesures de sécurité majeures pour lutter contre les cas de vol. La première consiste à mettre en sandbox le compte compromis et à bloquer les NFT volés pour faciliter les traçages médico-légaux. Le blocage des NFT est urgent, car il n’est efficace qu’avant que le pirate ne le vende à un autre acheteur sans méfiance.
La plupart des NFT volés ont probablement disparu pour toujours. Le seul cas récent de NFT récupéré s’est produit en février. Mintable a décidé de rendre certains jetons qu’ils avaient achetés sans savoir qu’ils avaient été volés à leurs propriétaires d’origine. Plus d’un million de dollars de NFT provenant de cet exploit restent perdus. Cependant, avec de nombreuses publications et un calendrier Canal 5 interview, Domenic ne semble pas prêt à baisser les bras.
Les hacks MetaMask ne sont pas impossibles
Que des attaquants malveillants aient accès à plusieurs portefeuilles Metamask n’est pas nouveau. Il existe des clones d’applications Metamask et plusieurs fausses extensions de navigateur MetaMask sur Internet. La prévalence des liens de largage aérien et des sites de cryptage douteux piège également les débutants sans aucune connaissance en matière de sécurité. L’authentification à deux facteurs généralement utilisée par les échanges ne s’applique pas à MetaMask en raison de sa nature décentralisée. Puisqu’il s’agit d’un portefeuille chaud, il y a des chances qu’il ne soit pas sécurisé à cent pour cent.
Pour atténuer le risque d’attaques, il est déconseillé aux utilisateurs de stocker des sommes importantes dans leur portefeuille. Metamask lui-même recommande aux utilisateurs d’obtenir un portefeuille matériel une fois qu’ils disposent de fonds suffisants. Bien qu’il soit également conseillé aux utilisateurs d’Apple de désactiver la sauvegarde iCloud des données d’application, il est également nécessaire de réitérer les principes de sécurité de base. Par exemple, les utilisateurs doivent conserver les mots de passe à usage unique (OTP), les codes d’authentification, etc., à l’écart d’un tiers.
Les pirates travaillent dur pour développer des moyens ingénieux d’attaquer chaque seconde. Le monde de la crypto-monnaie met l’accent sur la capacité des utilisateurs à DYOR (Do Your Own Research). L’utilisateur a la responsabilité d’être suffisamment en sécurité pour éviter les attaques d’ingénierie sociale.
