Juliette BEn quelques mois, les NFT sont devenus des actifs plus précieux qu’une bouteille de Dom Pérignon ou même une voiture de course, pour certains. Hello BAYC 😉 Rappelons que dernièrement, l’artiste Grimes a vendu une série de 10 NFT pour environ 6 millions de dollars.
Même si le marché souffre d’une baisse ces derniers temps, les NFT attirent de plus en plus d’escrocs. En effet, quand il y a de l’argent, les hackers ne sont jamais très loin.
Les hacks de NFT sont en effet devenus de plus en plus courants. Et si la blockchain qui héberge les tokens non fongibles est rarement en cause, ce sont plutôt les services, plateformes et réseaux numériques que leurs propriétaires utilisent pour acheter, échanger ou stocker leurs NFT qui se font pirater.
Retour sur les plus gros hacks de NFT de ces dernières semaines. Zone Bitcoin vous partage également quelques conseils pour protéger vos NFT !
Hack de NFT : Des détournements toujours plus spectaculaires
Le hack de NFT le plus spectaculaire de ces derniers mois a sans nul doute été celui des NFT d’Arthur0x, le fondateur de DeFiance Capital. Ses tokens non fongibles, d’une valeur d’environ 600 ETH avaient été vendus sur la plateforme OpenSea.
L’occasion de rappeler que selon un rapport publié par Chainalysis, la valeur transférée sur les marchés NFT par des adresses illicites a considérablement augmenté en 2021.
Compte tenu de l’augmentation préoccupante de la valeur illicite circulant sur les plates-formes NFT, il est normal de se demander si des mesures de sécurité existent pour protéger leurs détenteurs.
Revenons à OpenSea. La plus grande plate-forme NFT prévoit deux dispositifs de protection en cas de hack de NFT. La première consiste à verrouiller le compte piraté, la seconde à bloquer les NFT volés.
A y regarder de plus près, ces deux mesures se révèlent en réalité plutôt inefficaces.
Le verrouillage du compte peut être effectué sur la plateforme d’OpenSea sans approbation humaine. Le blocage des NFT implique quant à lui un long processus qui consiste à créer un ticket de support puis attendre la réponse de l’équipe d’assistance d’OpenSea.
Dans le cas où un hacker aurait déjà compromis le portefeuille en question et serait en train de transférer les NFT, le verrouillage du compte ne serait efficace que s’il était effectif avant que le pirate ne siphonne le compte. De même, le blocage des NFT n’est également effectif qu’avant que les NFT ne soient vendus à un autre acheteur par le pirate.
Prenez en bien conscience.
Les victimes indirectes des hacks de NFT
Pire encore, cette mesure de sécurité crée une série de victimes indirectes. Ces dernières se retrouvent en effet avec leurs NFT bloqués, ne pouvant ni les vendre ni même les transférer.
De fait, le temps de réponse moyen une fois qu’un ticket support a été envoyé via OpenSea est de plus d’un jour. Au moment où les NFT piratés auront été bloqués par OpenSea, ils seront en réalité déjà vendus à un autre acheteur, faisant une nouvelle victime.
Dans le cas des 17 NFT Azuki volés à Arthur0x, 15 ont été piratés dans la même minute et deux l’ont été à trois minutes d’intervalle. Les NFT hackés ne sont ensuite restés que 43 minutes sur le portefeuille du pirate avant d’être vendus. Ce qui prouve bien que les mesures prises par OpenSea sont loin d’être suffisamment rapides pour informer la victime et arrêter le pirate.
De même, si par exemple, vous “minter” un NFT d’un projet non authentique, le problème peut être plus grave sur le long terme. Cela peut bloquer toutes les transactions
Apprendre les gestes de base pour se protéger
Autre cas de figure : les pirates se font passer pour la société à l’origine des NFT hackés.
C’est ce qui s’est récemment produit pour certains des fameux Bored Apes. Le 25 avril dernier, des pirates sont parvenus à dérober 134 NFT pour valeur totale de 2,52 millions d’euros. Parmi les NFT piratés figurent plusieurs créations du Yuga Labs, dont les BAYC.
La société a commencé par déclarer sur Twitter qu’aucun mint de NFT n’était en cours. Mais surtout que son compte Instagram avait probablement été piraté. Trop tard : un investisseur crypto venait déjà d’acheter 12 BAYC volé sur OpenSea. Le profil lié à l’adresse du portefeuille du hacker avait bien sûr été supprimé de la plateforme lorsque la victime a publié sa capture d’écran sur le réseau social.
Le contenu du portefeuille des pirates n’a été retrouvé que bien plus tard. C’est le média américain The Verge qui a suivi sa trace sur la marketplace Rarible. Au total, ce serait 134 NFT qui auraient été hackés à cette occasion… Pour l’instant.
Selon les dernières estimations, la valeur de chacun des NFT piratés dépasse les 100K euros. Pour tromper leurs détenteurs, les hackers ont commencé par pirater le compte Insta de Yuga Labs (passant outre la double authentification, qui était activée au moment de l’attaque). Ils ont ensuite invité ses abonnés à un événement en ligne : un faux airdrop de NFT. Les victimes qui ont cliqué sur le lien corrompu ont ensuite perdu le contrôle de leurs portefeuilles.
Une technique qui avait déjà fait ses preuves. Début 2022, le canal Discord de Bored Ape Yacht Club avaient également été piraté. Les pirates avaient utilisé le même stratagème, invitant les détenteurs de NF à cliquer sur un lien pour participer à un airdrop…
Il est vraiment recommandé de ne pas cliquer sur n’importe quel lien. Cela est encore plus vrai sur les réseaux sociaux…
Comment se protéger contre un piratage de vos NFT ?
Compte tenu de la nature des NFT, qui sont adossés à la blockchain, les places de marché NFT comme Nifty ou OpenSea n’ont pas le contrôle sur les tokens non fongibles une fois qu’ils ont été piratés. Il est donc souvent peu probable, voire carrément impossible de récupérer un actif qui a été volé. Certaines proposent ainsi une assurance pour indemniser les victimes.
🤓 L’enjeu est donc d’éviter les hacks de NFT avant qu’ils ne se produisent.
👉 Certaines plateformes poussent à activer l’authentification à deux facteurs et à ne jamais réutiliser deux fois le même mot de passe. Jusque là, rien de nouveau sous le soleil ! Les hackers tendant leurs filets sur les réseaux sociaux, les marketplace encouragent également les potentiels acheteurs à ne pas cliquer sur de liens. Même ceux provenant du compte officiel d’une société commercialisant des NFT !
👉 Utiliser un cold wallet. Bien que l’authentification à deux facteurs ajoute une couche de sécurité supplémentaire, elle ne sera généralement pas suffisante. Vous pouvez par exemple stocker vos NFT dans des cold wallets ( comme Ledger par exemple).
En fait, procédez de la même manière que vous le feriez avec vos BTC ou n’importe quelle autre crypto-monnaie.
👉 Vérifiez bien l’adresse URL du mint et vérifiez la corrélation des adresses en suivant bien les liens officiels. Suivez-les directement depuis les réseaux sociaux (ou le site web) du projet directement. Ne cliquez pas sur les liens affichés. Évitez également de suivre les liens que l’on vous envoie en message privé. En général, c’est de l’arnaque pure et dure.
👉 Si vous vous connectez à une dAPP, n’oubliez pas de révoquer les autorisations de votre portefeuille.
————-
Remarque : Aucun conseil financier n’est donné dans cet article ni dans tout autre article sur zonebitcoin. Il s’agit d’information dont vous êtes le seul juge et maitre. Soyez responsable de vos investissements et n’investissez qu’une somme dont vous êtes prêt à perdre.
Nos liens affiliés :
👋 Pour acheter des cryptomonnaies ( de façon simple):
✌️Pour générer des intérêts sur vos cryptomonnaies:
👌Pour sécuriser vos cryptomonnaies:
🤌 Pour se divertir et jouer
- Le top pour l’Esport et le Paris sportifs bitcoin : CloudBet
- Découvrir les casinos bitcoin fiables
