OpenSea rapporte qu’une énorme campagne de phishing a permis à des pirates de voler l’équivalent de 1,7 millions de dollars (ou plutôt autour de 641 Eth) en NFT sur des dizaines de (gros) comptes. Le vol proprement dit a eu lieu dans la nuit de samedi. En tout les pirates ont visé 32 comptes, qui leur ont permis de dérober 254 NFT. Parmi les comptes concernés il y a des collections très célèbres comme Bored Ape Yacht Club et Azuki.
Selon le PDG et fondateur de la plateforme OpenSea David Finzer, il n’y a pas de doute : “nous pensons avec un haut degré de confiance qu’il s’agit d’une attaque phishing. Nous ne savons pas où le phishing a eu lieu, mais nous avons pu éliminer de nombreuses autres hypothèses sur la base des conversations que nous avons eues avec les 32 utilisateurs touchés”.
OpenSea victime d’une attaque phishing ?
Une théorie reprise par le site Engadget avance que l’attaque s’est appuyée par un aspect du Protocole Wyvern. Ce protocole est un standard open source pierre angulaire des contrats intelligents échangés sur OpenSea. Les victimes de l’attaque auraient ainsi signé sans s’en rendre compte un accord partiel permettant de transférer des NFT sans le moindre échange de Ether. Une théorie qui semble convaincre, à ce stade de l’enquête, David Finzer.
Les NFT semblent encore dans leur enfance et les différentes plateformes qui les monétisent manquent encore parfois de sécurité ou de garde-fous suffisants. Les critiques fusent par ailleurs autour de nombreuses NFT qui s’avèrent être des fake, du plagiat, ou des sortes de spam. Or, il y a de quoi se demander si OpenSea n’a pas accidentellement favorisé cette attaque phishing. Vendredi dernier OpenSea a lancé un nouveau type de contrat, tout en mettant la pression sur les créateurs pour le faire migrer au plus vite leurs listings actuels.
Lire aussi – OpenSea – ce bug permet d’acheter des NFT pour une bouchée de pain
Dans la panique, il est vraisemblable que certains propriétaires de collections se sont plus facilement retrouvés piégés par une attaque de ce type. OpenSea assure qu’à ce stade l’attaque n’est plus en cours. La plateforme poursuit son enquête et continue d’informer à intervalles réguliers ses clients.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
