254 jetons non fongibles auraient été dérobés en utilisant une technique frauduleuse appelée hameçonnage ou phishing.
OpenSea, plateforme spécialisée dans les NFT, ces certificats de propriété numérique, a été victime d’une attaque par phishing le 19 février. Aussi connue sous le nom d’hameçonnage, cette technique permet à un acteur malveillant de récupérer les données personnelles d’un internaute en se faisant passer pour une personne ou un organisme que la victime connaît. En ciblant 32 utilisateurs de la plateforme avec cette forme d’arnaque, l’attaquant aurait réussi à voler 254 NFT selon une feuille de calcul compilée par la société PeckShield. Parmi ceux-ci figurent des jetons du Bored Ape Yacht Club et de Decentraland.
Ce vol a permis à l’auteur de l’attaque de récolter 1,7 million de dollars d’après Devin Finzer, cofondateur et PDG d’OpenSea. « L’assaillant a 1,7 million de dollars en Ethereum dans son portefeuille après avoir vendu certains des NFT volés », a-t-il déclaré sur Twitter.
Un protocole lié à l’attaque par phishing
OpenSea mène actuellement l’enquête sur l’attaque par phishing dont elle a été victime. Devin Finzer a affirmé qu’elle ne provenait pas du site de la plateforme ni d’une « interaction avec un courriel d’OpenSea ». « En fait, à notre connaissance, aucun des utilisateurs concernés n’a reçu ou cliqué sur un lien dans des courriels suspects », a précisé le PDG.
Comme l’a expliqué un utilisateur sur Twitter, le voleur aurait profité d’une flexibilité dans Wyvern, un protocole open source utilisé pour élaborer des contrats intelligents. Les utilisateurs ciblés auraient ainsi partiellement signé un accord l’autorisant à transférer les NFT sans qu’une transaction en Ethereum soit nécessaire. Ce dernier a ensuite conclu l’accord signé pour finaliser l’opération. Autrement dit, cela s’apparente à la signature d’un chèque en blanc, avec le reste du chèque rempli par le criminel pour s’emparer des NFT des utilisateurs concernés. Une explication que Devin Finzer a jugé « cohérente à [la] compréhension interne actuelle » d’OpenSea à propos de l’attaque. « Nous travaillons activement avec les utilisateurs dont les éléments ont été volés pour mieux définir un ensemble de sites web communs avec lesquels ils ont interagi et qui pourraient être responsables des signatures malveillantes », a-t-il indiqué.
L’annonce de cette attaque ne tombe pas au bon moment pour OpenSea. La plateforme a récemment fait l’objet de critiques pour les mesures qu’elle a prises afin de lutter contre le plagiat. Elle a en effet révélé que 80% des NFT créés gratuitement sur son site étaient frauduleux. Ce n’est pas la seule à être confrontée à ce problème de vente sans autorisation. Début février, Nike a porté plainte contre une plateforme de commerce en ligne ayant utilisé sa marque et son logo afin de créer et de vendre des baskets numériques sans avoir obtenu son approbation. Le secteur des NFT n’étant pas régulé, la popularité de ces jetons numériques s’accompagne ainsi de plusieurs risques, dont les contrefaçons et les vols.