Un pirate informatique vole plus de 1,7 million de dollars de NFT aux utilisateurs d’OpenSea
Qu’est-ce qui vient juste de se passer? OpenSea, un service récemment évalué à plus de 13 milliards de dollars, a vu au moins 32 de ses utilisateurs touchés par ce qui était apparemment une attaque de phishing, entraînant le vol de millions de dollars de NFT.
The Verge rapporte que 254 jetons achetés auprès d’OpenSea ont été volés dans les portefeuilles des utilisateurs entre 17 h 00 et 20 h 00 HE samedi. Certains des NFT les plus chers provenaient de Decentraland, du Bored Ape Yacht Club et du Mutant Ape Yacht Club. Voici une liste complète des actifs numériques volés.
Devin Finzer, co-fondateur et PDG d’OpenSea, a rassuré les utilisateurs sur le fait que le site allait bien. Il a ajouté que « pour autant que nous puissions en juger », les victimes étaient tombées dans le piège d’une « attaque de phishing ». Il a lié à une explication sur la façon dont le piratage a été activé en exploitant le protocole Wyvern utilisé pour la plupart des contrats intelligents NFT. Les cibles ont signé une partie du contrat, tandis que les attaquants ont terminé le reste, transférant la propriété des NFT. On ne sait pas exactement comment les pirates y sont parvenus.
Mais il y a ceux qui ne sont pas d’accord avec l’allégation d’attaque de phishing. Kotaku note que certaines victimes disent que le seul lien commun entre elles était qu’elles ont toutes migré manuellement leurs collections NFT vers un nouveau contrat intelligent sur la plate-forme, ce qui a été effectué car cela « résout un problème avec les listes inactives qui permettait aux escrocs de balayer de précieux NFT des collectionneurs sur OpenSea. »
Encore une fois, cependant, d’autres contestent cette affirmation. « J’ai vérifié chaque transaction », a déclaré Neso, l’utilisateur qui a expliqué comment la commande Wyvern était exploitée. « Ils ont tous des signatures valides des personnes qui ont perdu des NFT, donc quiconque prétend qu’il n’a pas été victime d’hameçonnage mais qu’il a perdu des NFT a malheureusement tort. » OpenSea a également nié que les nouveaux contrats aient été à l’origine du piratage.
La valeur exacte des NFT volés est également contestée. Finzer a déclaré que l’attaquant avait 1,7 million de dollars dans son portefeuille en vendant certains des jetons volés, mais un autre rapport affirme que l’agresseur a gagné 2,9 millions de dollars. Il semble également que certains des NFT ainsi qu’une partie de l’argent pour lequel ils ont été vendus ont été restitués aux propriétaires.
Cela n’a pas été une période facile pour OpenSea ces derniers temps. Il a limité le nombre de NFT que les gens pouvaient créer à l’aide de son outil de frappe gratuit à 50 le mois dernier, expliquant que plus de 80 % des jetons créés à l’aide de cette fonctionnalité étaient contrefaits, utilisaient du contenu plagié ou étaient du spam. Mais le service est revenu sur sa décision et a levé la limite suite à un tollé des utilisateurs.