Une nouvelle campagne de phishing a permis à un hacker de siphonner des centaines de NFT. Résultat, près de 2 millions de dollars se sont évaporés.
Principale place de marché pour la vente, l’échange et l’achat de NFT , OpenSea se retrouve souvent au cœur de l’actualité pour des cas de vols et d’arnaques. Ce week-end, plusieurs utilisateurs et utilisatrices de la plateforme ont été lésés de leurs tokens à la faveur d’une mise à jour du site.
OpenSea est en eaux troubles. La principale place de marché spécialisée dans la vente de NFT a été victime d’une nouvelle affaire de piratage. Une attaque par phishing a permis à un pirate de dérober plusieurs centaines de jetons non fongibles à des utilisateurs de la plateforme pour une valeur totale de presque 2 millions de dollars. Ce samedi 19 février 2022, un hacker s’est fait passer pour OpenSea au moment où il lançait une opération de migration des NFT vers un nouveau smart contract.
Le pirate est parvenu à falsifier le lien dans son message à l’attention des utilisateurs afin de les renvoyer vers une vente à son bénéfice. Il aurait profité de la souplesse de Wyvern, le protocole open source utilisé pour les contrats de vente. Plus concrètement, les victimes auraient partiellement signé un accord autorisant le pirate à transférer leurs NFT sans qu’aucune transaction en Ethereum soit nécessaire. Il en aurait ensuite profité pour finaliser l’opération et repartir avec le butin.
« L’attaquant a fait signer aux victimes la moitié d’un ordre de Wyvern valide. Il était essentiellement vide à l’exception de la partie concernant la cible », explique Devin Finzer, P.-D.G. d’OpenSea, qui dément au passage une faille d’exploitation de la plateforme. Plus concrètement, le pirate a fait signer l’équivalent de chèques en blanc à ses cibles. Selon les maigres informations partagées par OpenSea, l’attaque aurait duré environ trois heures. 32 utilisateurs distincts sont concernés par la manœuvre et près de 254 tokens se sont volatilisés. Ce sont au total 1,7 million de dollars qui ont été dérobés, un montant correspondant à la valeur en éthers transférée sur le portefeuille de crypto-monnaies de l’auteur de l’attaque.
OpenSea a annoncé l’ouverture d’une enquête. Ce n’est pas la première fois que la plateforme se retrouve embourbée dans des affaires de vol. En janvier, la plateforme avait été victime d’un bug qui avait permis à des utilisateurs malveillants de dévaliser des propriétaires de NFT . Portée par la popularité croissante des technologies de la blockchain , Chain Analysis estime que la criminalité liée aux crypto-monnaies aurait atteint un record en 2021 pour un total de 14 milliards de dollars en escroqueries . Ça ne semble pas près de s’arrêter en 2022.
Source : clubic