Ce week-end, une attaque phishing a mis à mal la plateforme OpenSea, provoquant une énorme vague de panique parmi les utilisateurs. Au total, ce sont plus de 254 NFT qui ont été dérobés, dont plusieurs jetons Bored Ape Yacht Club et Decentreland.
Visant particulièrement 32 utilisateurs de la plateforme d’échange crypto, l’attaque serait survenue entre 17 heures et 20 heures (Eastern Time Zone), et aurait rapporté 1,7 million de dollars aux pirates.
Une faille exploitée
Pour mener à bien leur opération, les pirates se sont appuyé sur une flexibilité du protocole Wyvern, la norme open source sous-jacente à la plupart des contrats NFT, et notamment ceux conclus sur OpenSea.
For more technical context, this thread (https://t.co/oHGgA3wLHP) is consistent with our current internal understanding.
— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022
Selon le PDG et fondateur de la plateforme Devin Finzer, l’attaque se serait déroulée en deux phases : une première durant laquelle les cibles auraient signé un contrat partiel, dont le plus gros du contenu était laissé vide. Une fois la signature obtenue, les malfaiteurs ont ensuite conclu un contrat en leur faveur, validant l’idée d’une transaction sans transfert de fonds. Une sorte de chèque en blanc numérique, qui laissait ensuite aux cybercriminels tout le loisir de récupérer les jetons possédés par leurs victimes.
Le problème, c’est que sur le plan légal, les transactions enregistrées par cette opération phishing sont tout à fait valides. Les signatures numériques des victimes sont authentiques, et il est donc très compliqué d’imaginer que ces dernières pourront obtenir gain de cause.
De son côté, OpenSea était en pleine mise à jour de son système de contrats lorsque l’attaque a eu lieu. La plateforme a nié la possibilité que la faille provienne des nouveaux contrats, mais a promis de tenir ses utilisateurs au courant de la nature exacte de l’attaque. En attendant, une enquête interne a été ouverte, et les victimes peuvent contacter le support de la plateforme directement sur Twitter, via le compte @opensea_support.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Bonjour.
Comment peut-il être possible de volé des nfts?
Les NFTs volaient sont automatiquement faux, et perdus.
Le NFT est par essence un label identifier par moi-même suite à l’interrogation de Wikipédia: le NFT peut-il être reconnu comme une oeuvre d’art en particulier ? Non
Ceci révélant, et créant ce que j’ai appelé le label on/off.
Le NFT est par essence déjà faux, et perdu puis en même temps vrai, et Archivé. Dans le dit vol, il est automatiquement faux, et perdu.
Il s’agit là du ‘contrat naturel du virtuel mis en lumière’
Note: si vous souhaitez volé, être franchisé des nfts suivant visibles sur opensea, tapez yonemag dans recherche.
Vous y trouverait un certificat d’authenticité le seul premier ainsi nommé Mundi mardi.., proposant la représentation unique du tableau Salvatore Mundi.
CPNF, copie de pie non fongible, désignant la singularité du NFT, source de duplication de l’original, de l’unique.
Bonne continuation.