Des hackers sont parvenus à voler près de 438 000 dollars en annonçant de fausses collections de NFT sur le compte Twitter de l’artiste.
Des hackers ont profité de la notoriété de Beeple (Mike Winkelmann) pour voler des fonds. Connu pour avoir vendu l’œuvre numérique la plus chère au monde, Everydays : The First 5000 Days, adjugée 69,3 millions de dollars, il a vu son compte Twitter se faire pirater le 22 mai. Après en avoir repris le contrôle, il a appelé ses plus de 673 000 abonnés à la prudence, ajoutant que « tout ce qui est trop beau pour être vrai est une putain d’arnaque ».
Malheureusement, le mal était déjà fait. À la suite du piratage, les hackers ont annoncé une collection de 1 000 NFT créée par l’artiste en collaboration avec Louis Vuitton : « Cela fait longtemps que je travaille dessus avec LV en coulisses », avaient indiqué les pirates se faisant passer pour lui. Ils ont par la suite annoncé la sortie de 200 autres NFT supplémentaires. Les deux publications incluaient un lien renvoyant vers un site frauduleux. Ces arnaques ont permis à leurs auteurs de subtiliser 270 000 dollars en ether et 45 NFT d’une valeur d’environ 165 000 dollars, selon Harry Denley, chercheur en sécurité pour la société de portefeuille crypto MetaMask.
Une technique fructueuse pour le vol de NFT
Au total, environ 438 000 dollars ont été volés en près de cinq heures à l’aide de ces sites de phishing. Également connu sous le nom d’hameçonnage, cette technique d’attaque consiste à prendre l’apparence d’un site de confiance, comme celui d’un créateur de NFT, pour que les victimes donnent les coordonnées de leur portefeuille crypto.
Ce n’est pas la première fois qu’elle est employée par des cybercriminels dans le monde des NFT. Fin avril, un hacker est parvenu à dérober plus de 2 millions de dollars après avoir piraté le compte Instagram de la célèbre collection Bored Ape Yacht Club. Plus de 1,7 millions de dollars en NFT ont aussi été volés par un criminel se faisant passer pour la plateforme Opensea en février dernier.
Plus largement, le phishing est une technique particulièrement populaire dans le milieu de la cybercriminalité. Assez simple à mettre en place, il a été la principale cybermalveillance rencontrée par les professionnels et les particuliers en France en 2021. Dans son rapport, la plateforme Cybermalveillance.gouv.fr alertait sur le fait qu’il soit « devenu aujourd’hui le principal vecteur à l’origine de tout un panel de cybermalveillances qui vont du piratage de compte, en passant par des débits bancaires frauduleux, jusqu’à de l’usurpation d’identité et même les tristement célèbres attaques par rançongiciels ».
