NFT : La recrudescence des phénomènes de vols
Alors que la communauté NFT continue de croître, le nombre de scams (arnaques) en tout genre augmente également : de la simple vente de copies à de grands projets volontairement sans avenir. Cependant, ce qui inquiète davantage les collectionneurs est sans doute le vol de NFT qui peut représenter parfois des millions d’euros de préjudices.
Dans cet esprit, examinons certaines des pertes et des vols NFT les plus coûteux. Ces histoires vous aideront à mieux comprendre ce qui n'a pas fonctionné et comment vous pouvez vous protéger vous-même contre un potentiel vol de NFT.
Le casse de plus d’un demi-milliard de dollars
Si vous suivez les actualités autour des NFT, il est impossible d’être passé à côté : Des hackeurs ont réussi à voler près de 615 millions de dollars dans un projet de blockchain lié au play 2 earn Axie Infinity : le projet Ronin.
Avec quasiment 3 millions de joueurs quotidiens et 3,6 milliards de dollars déjà échangés sur sa marketplace, Axie Infinity est l'un des jeux en ligne basés sur la blockchain les plus populaires. Dans un univers fictif, les joueurs peuvent collectionner, échanger et jouer avec des créatures virtuelles appelées Axies, qui sont échangées sous forme de NFT et se vendent pour des centaines de milliers de dollars.
Selon l’analyste de marché CryptoSlam, Axie Infinity représente la plus grande marque de NFT en termes de volume de ventes ce qui démontre que n’importe quel projet, quelque soit sa taille, peut être touché…
OpenSea et vol de BAYC
Fin 2021, le propriétaire de la galerie d'art de Chelsea « ROSS-KRAMER GALLERY », Todd Kramer, a découvert que plusieurs NFT de sa collection personnelle sur OpenSea, le plus grand marché NFT au monde, avaient été volés le 30 décembre dernier.
Il a détaillé ce qui s'est passé dans des tweets qui ont depuis été supprimés. La plupart des NFT étaient Bored Apes et Mutant Apes, certains des NFT les plus précieux du marché. En tout et pour tout, Kramer a subi des pertes estimées à 2,2 millions de dollars avec ce vol.
Le galeriste a rapidement réclamé une intervention d'OpenSea, qui a gelé toutes les transactions sur la plate-forme jusqu'à ce que Kramer puisse récupérer ses « Apes » perdus. Cela a suscité la colère de nombreux utilisateurs de la communauté, qui l'ont réprimandé pour ne pas stocker des NFT aussi coûteux sur un portefeuille matériel de type Ledger. Les portefeuilles matériels (également appelés "cold wallet") sont des outils importants lorsqu'il s'agit de prévenir les vols NFT coûteux, car ils ne sont connectés à Internet que s'ils sont branchés. En tant que tels, ils sont plus difficiles à pirater.
Malheureusement, Kramer utilisait un hot wallet, qui était toujours connecté à Internet. En conséquence, il est plus vulnérable.
Les utilisateurs ont également critiqué OpenSea pour son implication, car certains ont allégué que les NFT ne sont pas vraiment décentralisés si une entreprise est capable de geler les transactions de cette manière. OpenSea a répondu aux critiques dans une déclaration : « OpenSea est un explorateur de blockchain, ce qui signifie que notre objectif est de fournir la vue la plus complète sur les NFT à travers différentes blockchains. Nous n'avons pas le pouvoir de geler ou de supprimer les NFT qui existent sur ces blockchains, mais nous désactivons la possibilité d'utiliser OpenSea pour acheter ou vendre des objets volés. Depuis l'apparition de ce problème, nous avons mis en place des outils et des processus de sécurité pour lutter contre le vol sur OpenSea. Nous étendons activement nos efforts à travers le support client, la confiance et la sécurité, et l'intégrité du site afin que nous puissions agir plus rapidement pour protéger et responsabiliser nos utilisateurs ».
Au final, Kramer a finalement retrouvé la majeure partie de sa collection volée. Cependant, nous pouvons en tirer les conclusions suivantes : si vous souhaitez conserver vos NFT sur le moyen ou long terme, les cold wallet sont les plus appropriés.
Encore OpenSea
Malheureusement, OpenSea a été témoin d'un autre braquage très médiatisé à peine un mois après le vol des BAYC et Mutants de Kramer. En février, les utilisateurs de la plate-forme ont découvert la piste d'un braquage d'un million de dollars. Le pirate informatique responsable a utilisé l'une des plus anciennes astuces d’internet pour y parvenir : une attaque par phishing.
Cela s'est produit juste un jour après qu'OpenSea ait mis à niveau son infrastructure de contrat intelligent pour protéger les utilisateurs d'un bug qui permettait aux arnaqueurs d'acheter des NFT bien en dessous de leur valeur marchande. Cela a été possible car une erreur dans le système a permis aux anciens contrats de rester sur la blockchain sans apparaître dans OpenSea. Ainsi, beaucoup de contrats dataient de plusieurs années. En faisant des offres contre ces contrats, les attaquants pourraient profiter des prix excessivement bas et obsolètes.
En conséquence, tous les utilisateurs d'OpenSea ont dû migrer leurs NFT listés vers un nouveau contrat intelligent. Le pirate a utilisé une attaque de phishing pour profiter de cette migration. Grâce à cette attaque réussie, le hackeur a pu inciter 17 utilisateurs à transférer certains de leurs NFT de grande valeur sur le compte OpenSea du voleur. Parmi les NFT volés, il y avait quatre Azukis, deux Coolmans, deux Doodles, deux KaijuKings et un Mutant Ape Yacht Club. L’arnaqueur a ensuite rapidement vendu ces NFT, réalisant plus de 1,7 million de dollars de bénéfices.
Nifty Gateway compromis
En mars, un autre vol NFT coûteux a eu lieu mais, pour une fois, sur une plate-forme différente. Plusieurs utilisateurs de Nifty Gateway se sont rendus sur les réseaux sociaux pour signaler que leurs comptes avaient été compromis.
Les pirates ont utilisé ces comptes volés pour acheter et vendre des centaines de milliers de dollars de NFT. Pire encore, les utilisateurs dont les comptes avaient été piratés se sont retrouvés prélevés sur leurs comptes courants, car ces transactions frauduleuses ont été débitées des cartes de crédit des utilisateurs concernés. Cela a été possible grâce à l'un des modes de fonctionnement spécifiques de la plate-forme de Nifty Gateway : les utilisateurs sont libres de facturer leurs achats sur leurs cartes de crédit, ainsi que sur leurs portefeuilles crypto.
Bien que Nifty Gateway ait officiellement reconnu l'attaque, ils ont blâmé les utilisateurs eux-mêmes au lieu de toute vulnérabilité potentielle sur la plate-forme… Dans une déclaration à Motherboard, un porte-parole de Nifty Gateway a indiqué que : "aucun des utilisateurs concernés n'avait activé le 2FA (le système d’authentification à deux facteurs)". Cela implique que les pirates ont utilisé des outils de phishing simples pour récupérer ces comptes et ont pu y accéder simplement en découvrant les mots de passe des utilisateurs concernés.
Prévenir le vol
Si vous cherchez à commencer à créer votre propre collection NFT, la première chose dont vous devrez vous méfier est d’abord le «rug pull» : une escroquerie dans lequel les fondateurs d’un projet abandonnent celui-ci en emportant avec eux l’argent des investisseurs. Mais une fois que vous avez dépassé les escroqueries NFT et sécurisé avec succès les actifs numériques sur lesquels vous vous trouvez, vous devrez être encore plus diligent. N'oubliez jamais que dans le Web3, les tiers ne gèrent pas tout pour vous. Vous devez compter sur vous-même et sur vos propres recherches. Une vigilance constante est donc de mise, car le vol peut arriver, même aux utilisateurs les plus vigilants.
Il n'est pas toujours possible d'éviter le vol NFT, mais il existe des mesures que les détenteurs peuvent prendre pour se protéger. Tout d'abord, cliquez uniquement sur les liens des sites Web que vous connaissez et auxquels vous faites confiance. Même si un lien semble provenir de quelqu'un que vous connaissez, ne présumez pas. Vérifiez toujours avant de continuer.
Ensuite, assurez-vous d'activer l'authentification multifacteur sur tous vos comptes et votre matériel. Cela ne prend que quelques minutes et est essentiel. Il est également important de créer un mot de passe fort et de ne jamais le réutiliser. Si un compte est compromis, vous ne voulez pas que tous vos comptes soient compromis. Enfin, gardez votre phrase de récupération secrète (également connue sous le nom de phrase de départ ou mnémonique) en toute sécurité. Ne la donnez jamais à personne.