opensea nft phishing

OpenSea : des centaines de NFT volés dans une attaque au Phishing

La plateforme OpenSea a été frappée par une attaque au phishing. Un total de 250 jetons NFT ont été volés à 32 utilisateurs en quelques heures, pour une valeur totale d’environ 1,7 million de dollars…

Alors que le marché des NFT est en plein essor, un grave incident de sécurité risque de semer le doute parmi les investisseurs. Le samedi 19 février 2022, des cybercriminels ont dérobé plusieurs centaines de NFT aux utilisateurs de la marketplace OpenSea.

Au total, selon le service PeckShield spécialisé dans la sécurité de la blockchain, 254 jetons ont été volés au cours de cette attaque et notamment des tokens en provenance de Decentraland et du Bored Ape Yacht Club.

La majeure partie de cette attaque a pris place entre 17 heures et 20 heures, et un total de 32 utilisateurs ont été ciblés. La valeur des jetons dérobés est estimée à plus de 1,7 million de dollars par Molly White du bloc  » Web3 is Going Great « .

Une faille du Wyvern Protocol exploitée par les escrocs

Cette attaque aurait exploité une flexibilité du Wyvern Protocol : le standard open-source sur lequel repose la plupart des smart contracts NFT dont ceux effectués sur OpenSea. L’attaque se serait déroulée en deux étapes.

Dans un premier temps, les victimes ont signé un contrat partiel avec une autorisation générale et de larges portions laissées vides. À partir de cette signature, les criminels ont pu compléter le contrat avec un appel vers leur propre contrat. Ceci a permis de transférer la propriété des NFT sans paiement.

Pour faire simple, les cibles de cette attaque ont signé un chèque en blanc et les cybercriminels n’ont eu qu’à remplir le reste du chèque pour s’emparer de leurs NFT. Toutes les signatures de ces transactions sont valides, ce qui prouve que les victimes ont bien été piégées par une attaque de phishing.

OpenSea dépassé par son succès ?

Rappelons qu’OpenSea est l’une des entreprises les plus valorisées dans l’industrie du NFT, avec une capitalisation estimée à 13 milliards de dollars. Cette marketplace offre une interface unifiée pour lister , parcourir ou enchérir sur des jetons non-fongibles sans interagir directement avec le blockchain.

Malheureusement, ce succès s’accompagne d’importants problèmes de sécurité. L’entreprise a notamment été confrontée à des attaques exploitant d’anciens contrats ou des jetons empoisonnés dans le but de voler la propriété des utilisateurs.

Lorsque cette nouvelle attaque a pris place, OpenSea était d’ailleurs en train de mettre à jour son système de contrat. La plateforme affirme toutefois que cette offensive n’a pas exploité les nouveaux contrats. Le nombre restreint de cibles semble d’ailleurs écarter l’hypothèse d’une telle vulnérabilité, qui aurait probablement été exploitée à plus grande échelle.

De nombreux détails autour de cet incident restent néanmoins drapés de mystère. On ignore notamment quelle méthode ont utilisé les criminels pour pousser leurs cibles à signer les contrats à moitié vides. Selon le CEO d’OpenSea, Devin Finzer, les attaques n’ont pas débuté depuis le site web, les systèmes de listing ou les emails de l’entreprise.

Le rythme rapide de l’attaque, élevé à plusieurs centaines de transactions en quelques heures, suggère un vecteur commun. Toutefois, aucun lien n’a été découvert pour le moment. Tout utilisateur ayant des informations spécifiques à partager sur cette attaque de hameçonnage est d’ailleurs invité à contacter OpenSea pour les partager…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest