Vers 4 h 30 HE vendredi, la chaîne Discord officielle d’OpenSea, le plus grand marché NFT au monde, a rejoint la liste croissante des communautés NFT qui ont exposé les participants à des attaques de phishing.

Dans ce cas, un bot a fait une fausse annonce concernant le partenariat d’OpenSea avec YouTube, incitant les utilisateurs à cliquer sur un lien « YouTube Genesis Mint Pass » pour attraper l’un des 100 NFT gratuits avec un « utilitaire fou » avant qu’ils ne disparaissent pour toujours, comme ainsi que quelques messages de suivi. Société de suivi de la sécurité de la blockchain PeckShield a marqué l’URL que les attaquants ont liée, « youtubenft[.]art » en tant que site de phishing, désormais indisponible.

Alors que les messages et le site de phishing ont déjà disparu, une personne qui a déclaré avoir perdu des NFT lors de l’incident a indiqué que cette adresse sur la blockchain appartenait à l’attaquant, afin que nous puissions voir plus d’informations sur ce qui s’est passé ensuite. Bien que cette identité ait été bloquée sur le site d’OpenSea, sa visualisation via Etherscan.io ou un marché NFT concurrent, Rarible, montre que 13 NFT lui ont été transférés à partir de cinq sources au moment de l’attaque. Ils sont désormais également signalés sur OpenSea pour « activité suspecte » et, sur la base de leurs prix lors de la dernière vente, semblent valoir un peu plus de 18 000 dollars.

Image: Richard Lawler / Rarible.com

Ce type d’attaque intermédiaire dans laquelle les escrocs exploitent les commerçants NFT qui cherchent à capitaliser sur les  » airdrops  » est devenu courant pour les organisations Web3 de premier plan. Il est courant que les annonces apparaissent à l’improviste, et la nature de la blockchain peut donner à certains utilisateurs des raisons de cliquer d’abord et d’envisager les conséquences plus tard.

Au-delà du désir d’attraper des objets rares, il y a la connaissance que l’attente peut rendre la frappe de votre NFT au milieu d’une ruée beaucoup plus lente, plus chère, voire impossible (si vous manquez de fonds pendant le processus). S’ils ont laissé des objets ou de la crypto-monnaie dans leur portefeuille connecté à Internet, le fait de fournir les informations de connexion à un hameçonneur pourrait les divulguer en quelques secondes.

Dans une déclaration à Le bord, Le porte-parole d’OpenSea, Allie Mack, a confirmé l’incident en déclarant : « La nuit dernière, un attaquant a pu publier des liens malveillants sur plusieurs de nos canaux Discord. Nous avons remarqué les liens malveillants peu de temps après leur publication et avons pris des mesures immédiates pour remédier à la situation, notamment en supprimant les bots et les comptes malveillants. Nous avons également alerté notre communauté via notre canal d’assistance Twitter de ne cliquer sur aucun lien dans notre Discord. Nous n’avons vu aucun nouveau message malveillant depuis 4 h 30 HE. »

« Nous continuons d’enquêter activement sur cette attaque et tiendrons notre communauté informée de toute nouvelle information pertinente. Notre analyse préliminaire indique que l’attaque a eu un impact limité. Nous avons actuellement connaissance de moins de 10 portefeuilles impactés et d’objets volés d’un montant inférieur à 10 ETH », a déclaré Mack.

OpenSea n’a pas fait de déclaration sur la façon dont la chaîne a été piratée, mais comme nous l’avons expliqué en décembre, un point d’entrée pour ce style d’attaque est la fonctionnalité de webhooks que les organisations utilisent souvent pour contrôler les bots de leurs chaînes afin de publier des messages. Si un pirate accède ou compromet le compte d’une personne autorisée, il peut l’utiliser pour envoyer un message et/ou une URL qui semble provenir d’une source officielle.

Les attaques récentes en ont inclus une qui a volé pour 800 000 $ de bibelots de la chaîne de blocs du Discord « Rare Bears », et le Bored Ape Yacht Club a annoncé que sa chaîne avait été compromise le 1er avril. Le 25 avril, l’Instagram BAYC a servi de conduit pour un braquage similaire qui a décroché plus d’un million de dollars de NFT simplement en envoyant un lien de phishing.