OpenSea, la plus grande place de marché de jetons non fongibles (NFT) au monde, a confirmé dimanche avoir été victime d’une attaque de la part de hameçonnage et qu’au moins 32 utilisateurs avaient perdu leurs NFT pour une valeur de 1,7 million de dollars.
OpenSea a déclaré que les rumeurs selon lesquelles il s’agissait d’un piratage de 200 millions de dollars sont fausses, mais a reconnu que l’attaquant « a 1,7 million de dollars en ETH (Ethereum) dans son portefeuille grâce à la vente de certains des NFT volés. »
Cependant, le cofondateur et directeur général de l’entreprise OpenSea, Devin Finzer, a précisé que la récente attaque ne provenait pas de la plate-forme. L’équipe enquête sur cette affaire pour localiser la source de l’attaque.
Dans un fil Twitter hier, Finzer a parlé des rapports récents selon lesquels l’attaque provenait des mails de OpenSea et a précisé que cela n’était qu’une fausse rumeur.
This attack did not originate on https://t.co/TYuT1WACso.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Dans le fil Twitter a également dit :
« L’interaction avec un email OpenSea n’est pas un vecteur d’attaque. En fait, à notre connaissance, aucun utilisateur concerné n’a reçu ou cliqué sur des liens dans des courriels suspects« .
Plus d’informations sur l’attaque
Le PDG en a révélé davantage sur les circonstances entourant l’attaque. Il a relevé plusieurs autres méthodes qui ne sont pas des vecteurs d’attaque, comme le monnayage, l’achat et la vente sur la plateforme qui génère l’outil de migration des cotations ; ou le fait de cliquer sur la bannière du site.
» Monnayer, acheter, vendre ou répertorier des articles en utilisant. opensea.io n’est pas un vecteur d’attaque. En particulier, la signature du nouveau contrat intelligent (le contrat Wyvern 2.3) ne constitue pas un vecteur d’attaque« .a-t-il déclaré sur Twitter.
Il a également expliqué que la plateforme travaillait avec les victimes du vol pour réduire la source de l’attaque qui pourrait être à l’origine des signatures malveillantes. L’enquête de l’équipe se poursuit et elle a fourni quelques mises à jour sur sa page Twitter.
« Nous travaillons activement avec les utilisateurs dont les objets ont été volés afin d’identifier un ensemble de sites web communs avec lesquels ils ont interagi et qui pourraient être à l’origine des signatures malveillantes. Un grand merci aux utilisateurs qui nous ont contactés directement par téléphone. » a dit dans le fil.
OpenSea Il a ajouté, que l’attaquant n’est plus actif. Le contrat malveillant n’a connu aucune activité au cours des 15 dernières heures. OpenSea et ses dirigeants ont exhorté les utilisateurs à ne pas cliquer sur les liens en dehors du site OpenSea.io.
Erreurs fatales
Il convient de rappeler que la plate-forme OpenSea a été affecté par un certain nombre d’incidents négatifs au cours des derniers mois. Cependant, elle reste la plateforme NFT la plus populaire, malgré ces incidents.
La plateforme a également connu quelques problèmes de sécurité. Le plus grave de tous est sans doute le vol de NFT d’une valeur de 1,3 million d’USD dû à un bug.
Elle a également été fortement critiquée pour le piratage de certaines de ses œuvres.