Le pirate a volé des centaines de NFT de grande valeur dans des collections recherchées comme Bored Ape Yacht Club, Azuki et NFT Worlds.
Un pirate a volé des millions de dollars de NFT aux utilisateurs d’OpenSea la nuit dernière.
Le pirate a ciblé environ 32 collectionneurs sur la principale place de marché de NFT et a vidé leurs portefeuilles d’Ethereum. Les données sur la chaîne publiées par Peckshield montrent qu’ils ont volé plus de 250 pièces provenant de collections de grande valeur comme Bored Ape Yacht Club, Doodles, Azuki et NFT Worlds. Sur la base des prix plancher pour les collections, Crypto Briefing a estimé la valeur totale du butin à plus de 1 000 Ethereum, soit 3 millions de dollars. Le site portefeuille de l’attaquant contient actuellement 641 Ethereum d’une valeur d’environ 1,7 million de dollars, ainsi qu’une sélection des NFT volés.
La nouvelle de l’attaque a fait surface sur Twitter samedi dernier lorsque des utilisateurs ont signalé une activité suspecte liée à leurs comptes. La rumeur initiale était que l’exploit était lié à un contrat intelligent vers lequel les utilisateurs d’OpenSea ont migré leurs NFT au cours des dernières semaines. Cependant, OpenSea a indiqué qu’il s’agissait probablement d’une attaque par hameçonnage.
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
L’équipe s’est rendue sur Twitter tôt dimanche pour annoncer qu’elle » enquêtait activement » sur les rumeurs et qu’une » attaque de phishing en dehors du site Web d’OpenSea » en était la cause probable. Devin Finzer, PDG d’OpenSea a déclaré : que l’équipe menait « une enquête tous azimuts » et que les 32 utilisateurs concernés avaient subi une attaque par hameçonnage. Plus tôt ce matin, Finzer a réitéré sa conviction qu’il s’agissait d’une attaque par hameçonnage. « Nous sommes convaincus qu’il s’agissait d’une attaque par hameçonnage », a-t-il écrit. L’entreprise d’analyse de sécurité PeckShield a également enquêté sur l’incident et a partagé l’opinion suivante qu’une escroquerie par hameçonnage était probablement à l’origine du problème.
Le piratage de NFT expose les risques de Web3
Bien qu’une analyse post-mortem complète doive encore être publiée, les utilisateurs d’Ethereum foobar et isotile a posté des tweet storms détaillant les mouvements probables de l’attaquant. Les données on-chain montrent qu’ils ont déployé un contrat intelligent le 22 janvier qui utilise un appel au contrat d’OpenSea. On pense qu’ils ont incité les utilisateurs à signer une transaction qui a transféré leurs NFT vers le portefeuille du pirate, probablement en envoyant un e-mail qui reproduit ceux qu’OpenSea envoie. Une fois qu’ils ont convaincu un nombre suffisant de collecteurs de NFT de signer la transaction malveillante, ils ont exécuté l’attaque pour vider leurs portefeuilles. Bien qu’une attaque de phishing reste à confirmer, l’incident expose les risques liés à l’utilisation de Web3, où la signature de toute transaction Ethereum malveillante peut avoir des conséquences désastreuses.
Au cours des derniers mois, de nombreux détenteurs de Bored Ape Yacht Club ont perdu leurs NFT de grande valeur dans des attaques similaires après avoir signé leurs actifs. Les NFT ayant suscité l’intérêt du grand public et leur prix ayant grimpé en flèche, les pirates se tournent de plus en plus vers cet espace pour cibler les collectionneurs. La plupart des utilisateurs d’OpenSea touchés ont été victimes d’attaques de phishing qui les ont incités à signer des contrats malveillants. Malgré tous les avantages des portefeuilles autodéposés et de la décentralisation, ces attaques soulèvent des questions quant à savoir si les crypto et les NFT sont vraiment prêts à être adoptés en masse. Même lorsque les détenteurs de crypto-monnaies utilisent un portefeuille matériel pour stocker leurs actifs, ils ne sont pas nécessairement protégés contre les arnaques aux contrats intelligents. Pour les collectionneurs, les hacks de NFT comme celui-ci sont un rappel de l’importance de faire preuve de prudence à tout moment dans Web3, en particulier lorsqu’il s’agit de vérifier les e-mails et de signer des transactions.
