Qu’est-ce qui vient juste de se passer? OpenSea, un service récemment évalué à plus de 13 milliards de dollars, a vu au moins 32 de ses utilisateurs touchés par ce qui était apparemment une attaque de phishing, entraînant le vol de millions de dollars de NFT.
Le bord rapporte que 254 jetons achetés auprès d’OpenSea ont été volés dans les portefeuilles des utilisateurs entre 17 h 00 et 20 h 00 HE samedi. Certains des NFT les plus chers provenaient de Decentraland, Bored Ape Yacht Club et Mutant Ape Yacht Club – voici un Liste complète d’actifs numériques volés.
Devin Finzer, co-fondateur et PDG d’OpenSea, a rassuré les utilisateurs sur le fait que le site allait bien. Il a ajouté que « pour autant que nous puissions en juger », les victimes étaient tombées dans le piège d’une « attaque de phishing ». Il a lié à un explication sur la façon dont le piratage a été activé en exploitant le protocole Wyvern utilisé pour la plupart des contrats intelligents NFT. Les cibles ont signé une partie du contrat, tandis que les attaquants ont terminé le reste, transférant la propriété des NFT. On ne sait pas exactement comment les pirates y sont parvenus.
Pour autant que nous sachions, il s’agit d’une attaque de phishing. Nous ne pensons pas qu’il soit connecté au site Web d’OpenSea. Il semble que 32 utilisateurs à ce jour aient signé une charge utile malveillante d’un attaquant, et certains de leurs NFT ont été volés.
– Devin Finzer (dfinzer.eth) (@dfinzer) 20 février 2022
Mais il y a ceux qui ne sont pas d’accord avec l’allégation d’attaque de phishing. Kotaku note que certaines victimes affirment que le seul lien commun entre elles était qu’elles avaient toutes migré manuellement leurs collections NFT vers un nouveau contrat intelligent sur la plate-forme, ce qui a été effectué car il « résout un problème avec les listes inactives qui permettait aux escrocs de balayer de précieux NFT de collectionneurs sur OpenSea.
SALUT TOUT LE MONDE. J’AI CONNECTÉ AVEC QUELQUES AUTRES PERSONNES QUI SE SONT PIRATÉES JUSTE MAINTENANT.
NOUS N’AVONS TOUS QU’UNE CHOSE EN COMMUN.
TOUS NOS NFT VOLÉS ÉTAIENT CEUX QUE NOUS AVONS MIGRÉS MANUELLEMENT SUR OPENSEA. @opensea vous avez tellement d’explications à faire maintenant.– AlbâtreJefferson (@AJFromDiscord) 19 février 2022
Encore une fois, cependant, d’autres contestent cette affirmation. « J’ai vérifié chaque transaction », a déclaré Neso, l’utilisateur qui a expliqué comment la commande Wyvern était exploitée. « Ils ont tous des signatures valides des personnes qui ont perdu des NFT, donc quiconque prétend qu’il n’a pas été victime d’hameçonnage mais qu’il a perdu des NFT a malheureusement tort. » OpenSea a également nié que les nouveaux contrats aient été à l’origine du piratage.
La valeur exacte des NFT volés est également contestée. Finzer a déclaré que l’attaquant avait 1,7 million de dollars dans son portefeuille en vendant certains des jetons volés, mais un autre rapport affirme que l’agresseur a gagné 2,9 millions de dollars. Il semble également que certains des NFT ainsi qu’une partie de l’argent pour lequel ils ont été vendus ont été restitués aux propriétaires.
Cela n’a pas été une période facile pour OpenSea ces derniers temps. Il a limité le nombre de NFT que les gens pouvaient créer à l’aide de son outil de frappe gratuit à 50 le mois dernier, expliquant que plus de 80 % des jetons créés à l’aide de cette fonctionnalité étaient contrefaits, utilisaient du contenu plagié ou étaient du spam. Mais le service est revenu sur sa décision et a levé la limite suite à un tollé des utilisateurs.