La plateforme OpenSea a été frappée par une attaque au phishing. Un total de 250 jetons NFT ont été volés à 32 utilisateurs en quelques heures, pour une valeur totale d’environ 1,7 million de dollars…
Alors que le marché des NFT est en plein essor, un grave incident de sécurité risque de semer le doute parmi les investisseurs. Le samedi 19 février 2022, des cybercriminels ont dérobé plusieurs centaines de NFT aux utilisateurs de la marketplace OpenSea.
Au total, selon le service PeckShield spécialisé dans la sécurité de la blockchain, 254 jetons ont été volés au cours de cette attaque et notamment des tokens en provenance de Decentraland et du Bored Ape Yacht Club.
La majeure partie de cette attaque a pris place entre 17 heures et 20 heures, et un total de 32 utilisateurs ont été ciblés. La valeur des jetons dérobés est estimée à plus de 1,7 million de dollars par Molly White du bloc » Web3 is Going Great « .
Une faille du Wyvern Protocol exploitée par les escrocs
Cette attaque aurait exploité une flexibilité du Wyvern Protocol : le standard open-source sur lequel repose la plupart des smart contracts NFT dont ceux effectués sur OpenSea. L’attaque se serait déroulée en deux étapes.
Dans un premier temps, les victimes ont signé un contrat partiel avec une autorisation générale et de larges portions laissées vides. À partir de cette signature, les criminels ont pu compléter le contrat avec un appel vers leur propre contrat. Ceci a permis de transférer la propriété des NFT sans paiement.
Pour faire simple, les cibles de cette attaque ont signé un chèque en blanc et les cybercriminels n’ont eu qu’à remplir le reste du chèque pour s’emparer de leurs NFT. Toutes les signatures de ces transactions sont valides, ce qui prouve que les victimes ont bien été piégées par une attaque de phishing.
For more technical context, this thread (https://t.co/oHGgA3wLHP) is consistent with our current internal understanding.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
OpenSea dépassé par son succès ?
Rappelons qu’OpenSea est l’une des entreprises les plus valorisées dans l’industrie du NFT, avec une capitalisation estimée à 13 milliards de dollars. Cette marketplace offre une interface unifiée pour lister , parcourir ou enchérir sur des jetons non-fongibles sans interagir directement avec le blockchain.
Malheureusement, ce succès s’accompagne d’importants problèmes de sécurité. L’entreprise a notamment été confrontée à des attaques exploitant d’anciens contrats ou des jetons empoisonnés dans le but de voler la propriété des utilisateurs.
Lorsque cette nouvelle attaque a pris place, OpenSea était d’ailleurs en train de mettre à jour son système de contrat. La plateforme affirme toutefois que cette offensive n’a pas exploité les nouveaux contrats. Le nombre restreint de cibles semble d’ailleurs écarter l’hypothèse d’une telle vulnérabilité, qui aurait probablement été exploitée à plus grande échelle.
De nombreux détails autour de cet incident restent néanmoins drapés de mystère. On ignore notamment quelle méthode ont utilisé les criminels pour pousser leurs cibles à signer les contrats à moitié vides. Selon le CEO d’OpenSea, Devin Finzer, les attaques n’ont pas débuté depuis le site web, les systèmes de listing ou les emails de l’entreprise.
Le rythme rapide de l’attaque, élevé à plusieurs centaines de transactions en quelques heures, suggère un vecteur commun. Toutefois, aucun lien n’a été découvert pour le moment. Tout utilisateur ayant des informations spécifiques à partager sur cette attaque de hameçonnage est d’ailleurs invité à contacter OpenSea pour les partager…
- Partager l'article :