Actus

OpenSea : des 2 millions de dollars de NFT volés !

La plateforme OpenSea a été piratée. Plus d’une centaine de jetons NFT ont été volés à 32 utilisateurs en quelques heures : une valeur totale d’environ 1,7 million de dollars…

254 jetons d’NFT volés

Alors que le marché des NFT est en plein expansion, des cybercriminels ont dérobé plusieurs centaines de NFT aux utilisateurs du site OpenSea ce samedi. Pour rappel, OpenSea est l’une des entreprises les plus valorisées dans l’industrie du NFT : sa capitalisation est aujourd’hui estimée à 13 milliards de dollars. Bien que la source de l’attaque reste indéterminée, le PDG du marché NFT, Devin Finzer, a tweeté qu’il s’agissait probablement d’une attaque de phishing et qu’elle n’était pas directement connectée à la plate-forme. Cependant, il a souligné que les enquêtes étaient toujours en cours.

L’attaque, qui aurait duré environ trois heures, a ciblé 32 utilisateurs. Les hackers auraient profité de la souplesse de Wyvern, un protocole open source utilisée dans l’élaboration des contrats de vente.

Les enregistrements de la blockchain montrent que les pirates ont pu accéder aux portefeuilles des utilisateurs, et ainsi et voler 254 jetons : soit près de 2 millions de dollars. Jusqu’à présent, les NFT volés incluent les fameux Bored Apes, les Mutant Apes ainsi que d’autres collections populaires Et d’après Finzer, en ce moment, le voleur se voleur aurait récupéré pas moins de 1,7 million de dollars d’Ethereum dans son portefeuille en vendant des NFT volés.

Il semble cependant que certains des NFT volés aient été restitués. Par ailleurs, le pirate aurait rendu tous les NFT volés dans un portefeuille, à l’exception d’un Bored Ape.

Une faille exploitée par les voleurs

Cette attaque aurait exploité une faille du Wyvern Protocol : le standard open-source sur lequel repose la plupart des smart contracts NFT dont ceux effectués sur OpenSea. L’attaque se serait déroulée en deux étapes.

Quand l’attaque avait pris place, OpenSea était d’ailleurs en train de mettre à jour son système de contrat. La plateforme affirme cependant que cette offensive n’a pas exploité les nouveaux contrats. Le nombre restreint de cibles semble d’ailleurs écarter l’hypothèse d’une vulnérabilité aussi conséquente, qui aurait probablement été exploitée à plus grande échelle.

Dans un premier temps, les victimes ont signé un contrat partiel avec une autorisation générale et de larges portions laissées vides. À partir de cette signature, les criminels ont pu compléter le contrat avec un appel vers leur propre contrat. Ceci a permis de transférer la propriété des NFT sans paiement.

Pour faire simple, les utilisateurs ciblés par l’attaque auraient partiellement signé un accord autorisant les pirates à transférer les NFT sans qu’aucune transaction en Ethereum soit nécessaire. Les hackers en auraient ensuite profité pour conclure l’accord signé afin de finaliser l’opération et de prendre la poudre d’escampette.

Une attaque drapée de mystère

La plupart détails autour de cet incident restent toutefois mystérieux. On ignore notamment quelle méthode ont utilisé les criminels pour pousser leurs cibles à signer les contrats à moitié vides. Selon le Finzer, les attaques n’ont pas débuté depuis le site web, les systèmes de listing ou les emails de l’entreprise. Mais le rythme rapide de l’attaque, (plusieurs centaines de transactions en trois heures !), suggère un vecteur commun. Mais malheureusement, aucun lien n’a été découvert pour le moment. Tout utilisateur ayant des informations à partager sur cette attaque est d’ailleurs invité à contacter OpenSea pour les partager…

To Top