LEBIGDATA.FR I.A, Cloud & Cybersécurité
En piratant le compte Instagram de Bored Ape Yacht Club, un hacker a pu dérober des NFT d'une valeur d'un million de dollars. Yuga Labs a révélé le hack sur son compte Twitter.
Instagram utilisé comme vecteur d'attaque
Le hacker a compromis le compte Instagram officiel de Bored Ape Yacht Club qu'il a utilisé pour publier un lien de phishing. Yuga Labs a de suite annoncé le piratage sur son compte Twitter pour avertir les utilisateurs, leur demander de ne pas cliquer sur le lien et de suspendre la création de nouveaux jetons.
Avant que l'annonce de piratage ne soit publiée, certains utilisateurs ont déjà cliqué sur le lien. Les premières analyses font état de plusieurs dizaines de victimes. Plusieurs NFT de la collection ont été volés et transférés sur le portefeuille du hacker qui contenait près de 134 NFT.
Certaines des œuvres dérobées coûtent extrêmement chers. Sur la base du cours actuel, le plus cher valait 123 ETH soit 354 500 dollars environ à sa dernière acquisition. Quatre portraits de singes ont été volés. Ces NFT coûtent à eux seuls plus d'un million de dollars. Pour rappel, Bored Ape Yacht Club est une collection de 10 000 NFT très populaire, créée par Yuga Labs et connue pour ses portraits de singes.
Un compte sécurisé piraté
Yuga Labs se pose encore des questions sur comment le hacker a pu compromettre le compte Instagram de BAYC. Les responsables affirment que l'authentification à deux facteurs était activée au moment de l'attaque. Par ailleurs, le compte bénéficie des meilleures pratiques en termes de sécurité.
Pour inciter les utilisateurs à cliquer sur le lien malveillant, le hacker proposait un « airdrop » à ceux qui utilisent le portefeuille MetaMask. Cette technique attribuée au marketing consiste à offrir des jetons gratuits dans le cadre d'une promotion ou du lancement d'une nouvelle collection.
L'application de portefeuille crypto MetaMask ne prend en charge que l'affichage NFT sur mobile. Son éditeur encourage les utilisateurs à gérer les NFT via l'application pour smartphone plutôt que l'extension basée sur le navigateur. Cela pourrait expliquer le choix d'Instagram, le lien de phishing étant plus susceptible d'interagir avec un portefeuille mobile. Mais cela n'explique toujours pas comment le pirate s'est infiltré dans le compte cible.
- Partager l'article :
