Des centaines de jetons non fongibles (NFT) ont été volés sur des comptes d'utilisateurs OpenSea après une série d'attaques de phishing réussies.
Le marché NFT a été alerté du problème au cours du week-end lorsqu'une poignée de clients ont découvert que des jetons manquaient dans leur portefeuille. La nouvelle de l'incident s'est rapidement propagée, provoquant des remous dans la communauté NFT.
Pour tenter d'apaiser la panique, le PDG d'OpenSea, Devin Finzer, s'est adressé à Twitter, expliquant que les attaques n'étaient pas le résultat d'une faille de sécurité dans la plateforme, mais plutôt d'une campagne de phishing ciblant les propriétaires de NFT. .
Une liste compilée par la société de sécurité blockchain PeckShield suggère que plus de 250 NFT ont été volés, y compris des articles de collections populaires comme le Bored Ape Yacht Club. Bien que certains aient été récupérés depuis, l'analyse du portefeuille montre que les jetons volés ont rapporté à l'attaquant environ 1.7 million d'euros en valeur de vente.
NFT OpenSea volés
Les NFT sont des représentations de propriétés numériques, telles que des images ou des vidéos, souvent décrites comme des objets de collection numériques. Ce qui les distingue des objets de collection traditionnels (par exemple, les skins Fortnite), c'est que chaque NFT a une signature distincte qui prouve son unicité et permet de vérifier et de suivre la propriété de l'actif associé.
Autrefois le jouet d'une minorité de passionnés, les NFT changent maintenant de mains pour des millions de dollars sur des plateformes comme OpenSea, qui est évaluée à 13 milliards d'euros.
Forcément, les valorisations des NFT échangés sur OpenSea et la notoriété du marché ont attiré l'attention des hackers. Ces derniers mois, la société a dû fermer des bogues de sécurité qui permettaient aux pirates d'acheter des NFT pour bien moins que leur valeur et de créer des jetons malveillants qui pourraient vider les portefeuilles cryptographiques des victimes.
Maintenant, OpenSea fait face à un autre problème de sécurité, dont les détails ne sont toujours pas clairs.
"Notre équipe a travaillé sans relâche pour enquêter sur les détails spécifiques de cette attaque de phishing", a expliqué OpenSea via son compte Twitter officiel.
« Nous avons réduit la liste des personnes concernées à 17, contre 32 mentionnées ci-dessus. Notre décompte initial comprenait tous ceux qui ont interagi avec l'attaquant, plutôt que ceux qui ont été victimes de l'attaque de phishing."
Cependant, le mécanisme précis de l'attaque reste incertain. Les premiers signes indiquent une manipulation du protocole Wyvern sur lequel la plupart des contrats intelligents NFT sont basés. Selon un fil Twitter référencé par Finzer, l'attaquant a amené les victimes à signer la moitié d'une commande Wyvern, permettant à leurs NFT d'être transférés vers un nouveau portefeuille sans paiement.
Finzer dit qu'il n'y a aucune preuve que les utilisateurs concernés ont été attaqués par e-mail, et l'identité du site Web utilisé pour faciliter l'attaque reste un mystère.
Le conseil pour les utilisateurs OpenSea concernés est de "vérifier que vous interagissez avec opensea.io dans votre navigateur lors de la signature des messages" et "interdire l'accès à votre collection NFT" via Etherscan.
TechRadar Pro a demandé à OpenSea s'il prévoyait de mettre en œuvre des mesures pour empêcher les utilisateurs d'être victimes d'escroqueries par hameçonnage similaires à l'avenir.