1,4 million de dollars de NFT dérobés : Comment éviter ces nouvelles attaques de phishing ?
L'entrepreneur Kevin Rose a annoncé avoir perdu 1,4 million de dollars dans une attaque de phishing visant OpenSea et les NFTs, appelée « Seaport Signature ». Penchons-nous sur ce type d'arnaque et comment faire pour s'en prémunir ?
Un hack à 1,4 million de dollars
Ce mercredi 25 janvier, le célèbre Kevin Rose a annoncé avoir été victime d'une attaque de phishing, ayant entraîné la perte de 1,4 million de dollars en tokens non fongibles (NFT).
Avec plus de 1,6 million de followers sur Twitter, il est connu pour être à la tête du podcast Proof, de la collection de NFT Moonbirds et du fonds de capital-risque True Ventures. Il a rapidement réagi sur Twitter :
I was just hacked, stay tuned for details - please avoid buying any squiggles until we get them flagged (just lost 25) + a few other NFTs (an autoglyph) ...
— Kevin Rose (@kevinrose) January 25, 2023
Comme en témoigne l'historique de son portefeuille sur OpenSea, la victime aurait perdu 40 NFTs de diverses collections telles que Autoglyph, Cool Cats ou encore OnChainMonkey. Les tokens ont été envoyés directement sur le portefeuille de l'attaquant et mis en vente sur la plateforme.
Grâce à son influence, Kevin Rose a pu obtenir de l'aide de la part de l'équipe d'OpenSea, qui a gelé les NFTs concernés et empêchés qu'ils soient vendus sur sa marketplace. Toutefois, ils sont encore vendables sur les autres plateformes telles que LooksRare ou Rarible.
? Tout savoir sur les NFT ou tokens non fongibles
Acheter des cryptos sur eToroComment éviter ces attaques de phishing ?
Plusieurs experts, à l'image des français de chez Nefture Security, se sont penchés sur la situation et ont déclaré que cette attaque était de type « Seaport Signature ». Le contexte de cette signature n'a pas été donné, mais il est clair que le site était malintentionné et construit uniquement pour attirer des victimes. Voyons ensemble à quoi cela correspond et comment vous pouvez essayer de vous en prémunir ?
Concrètement, ce type d'attaque permet à un arnaqueur de faire croire à sa victime qu'il est en train de signer une transaction d'approbation classique, alors qu'en réalité il délivre le droit de lister un NFT sur la marketplace OpenSea. Voici un exemple de signature, présenté par Nefture dans son thread explicatif de l'affaire Kevin Rose :
🔹SeaPort's intricate signature structure makes it possible for a scammer to trick an inexperienced user into signing a malicious listing on @opensea through a phishing website.
Signing it leads to your wallet being drained
How it works👇 pic.twitter.com/y1i2dKN4fW
— Nefture - DeFi Security Layer (@Nefture) January 25, 2023
Les signatures de type Seaport sont un peu particulière puisqu'elles permettent de déplacer vos tokens d'un portefeuille à un autre, en reposant sur une précédente signature d'approbation que vous avez donné à OpenSea. Ainsi, l'arnaqueur obtient tous les droits pour vendre ou transférer votre NFT gratuitement.
Pour se protéger, il est donc important d'être extrêmement vigilant lorsque vous voyez apparaître une signature d'approbation de type Seaport. Vérifiez que vous êtes bien sur un site officiel et renseignez-vous sur l'utilité de cette signature. Par ailleurs, si vous vous trouvez sur un page de mint, alors ne signez jamais ce type d'approbation.
Pour terminer, nous l'avons présenté de nombreuses fois mais n'hésitez pas à utiliser le site Internet Revoke Cash pour révoquer les droits que vous avez octroyé à OpenSea.
? La 1ère collection de NFT de Cryptoast est sortie
Cryptoast lance sa 1ère collection de NFT
Des NFT associés à un journal papier collector ?
Sources : OpenSea, Revoke Cash
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital