Des millions de dollars de NFT dérobés simultanément dans plusieurs wallets – Que s'est-il passé ?
Des millions de dollars de tokens non fongibles (NFT) provenant de collections phares comme celle du Bored Ape Yacht Club (BAYC), du Mutant Ape Yacht Club (MAYC) ou encore de Cool Cats ont été volés en raison d'une faille sur d'anciens smart contracts de NFT Trader. Que s'est-il passé pour qu'une telle attaque ait pu avoir lieu ?
Plusieurs millions de dollars de NFT envolés, la plupart provenant du BAYC
Hier, samedi 16 décembre, de nombreux propriétaires de tokens non fongibles (NFT) issus de collections blue chip ont eu la malheureuse surprise de voir leurs œuvres numériques évaporées de leur portefeuille.
Au total, 36 NFT de la collection phare Bored Ape Yacht Club (BAYC) et 18 NFT de la collection dérivée Mutant Ape Yacht Club ont été détournés par le hacker, en plus de quelques NFT issus des collections World of Women, VeeFriends, Cool Cats ou Squiggle. Par ailleurs, les individus détenant des Apecoins (APE), les tokens liés au BAYC, se sont également fait dérober ces derniers.
Au total, le montant volé initialement se situait autour des 3 millions de dollars.
👉 Pour approfondir – Comment évaluer le potentiel d'une collection de NFTs ?
Qu'avaient en commun les malheureuses victimes de cette attaque de taille ? Ils avaient tous accordé une autorisation à au moins un smart contract à risque de la plateforme NFT Trader, qui a elle-même publié un communiqué confirmant la faille dans la journée :
🚨🚨We've suffered an attack on old smart contracts, please remove the delegation using https://t.co/zEMgkS96nP to the following addresses:
-0xc310e760778ecbca4c65b6c559874757a4c4ece0
-0x13d8faF4A690f5AE52E2D2C52938d1167057B9af— NFT Trader (@NftTrader) December 16, 2023
« Nous avons subi une attaque sur d'anciens smart contracts, veuillez supprimer la délégation en utilisant Revoke.cash aux adresses suivantes [...]. »
Par la suite, l'attaquant a transmis un message on-chain quelque peu déroutant, indiquant que « les singes [comprendre les BAYC, NDLR] sont en sécurité, et ils finiront par revenir à leur utilisateur. ». Selon lui, il aurait d'abord souhaité profiter d'une faille initiée par un autre hacker, avant de se rendre compte qu'il pouvait siphonner de nombreux NFT à forte valeur.
Sorare : le jeu de fantasy football le plus populaire« Au début, comme d'habitude, je suis venu ici pour ramasser des déchets résiduels. Au début, je pensais que je ne pouvais obtenir que des TOKEN, mais j'ai fini par découvrir que je pouvais aussi obtenir des NFT. Je ne connais pas grand-chose aux NFT, mais j'ai regardé le prix des NFT et je pense qu'il y a beaucoup de profits à faire avec les exploits. [...] Si vous voulez récupérer le NFT du singe, il faut me payer une prime, c'est ce que je mérite. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Vous devez me payer 10 % d'ETH pour mon travail si vous avez un BAYC [...] Vous devez me payer 3 ETH si c'est un BAYC et 3.6 ETH si c'est un MAYC »
Les NFT finalement retournés à leurs propriétaires
Dans un premier temps, l'attaquant semble avoir décidé de retourner certains NFT de son propre chef, avec même parfois une certaine somme en Ethers (ETH), comme l'a rapporté un propriétaire de BAYC volé sur X, après l'avoir récupéré :
And now the hacker just sent me 31 eth? What in the world is going on. Is this real life?
— Ricky Sanders (@RSandersDFS) December 16, 2023
« Et maintenant, le hacker vient de m'envoyer 31 ETH ? Que se passe-t-il ? Est-ce que c'est la réalité? »
Ce matin, Boring Security, un groupe de volontaires qui travaille à partager les bonnes pratiques de sécurité pour les détenteurs de NFT et qui mène parfois des enquêtes on-chain, a indiqué que les 36 BAYC et 18 MAYC leur avaient été retournés en échange d'une prime de 10 % du floor price des collections, et que le butin serait redonné aux victimes.
All 36 BAYC and 18 MAYC that the exploiter had are now in our possession.
We sent her 10% of the floor price of the collections as bounty. We will be working with the affected victims getting them back to them free of charge.
Right after this coffee break...
Victims please…
— Boring Security (@BoringSecDAO) December 17, 2023
De son côté, le hacker a transféré les fonds qui lui ont été versés vers le mixeur de cryptomonnaies Tornado Cash afin d'effacer les traces on-chain.
Capture d'écran montrant une partie des transactions effectuées par le hacker
Soulignons par ailleurs que grâce aux efforts de 0xfoobar, 0xf4d3 et 0xqit, certains NFT ont pu être récupérés rapidement et ces derniers ont réussi à faire en sorte que la faille soit corrigée en déployant un correctif on-chain suite à un accord avec NFT Trader.
Une histoire qui finira donc sur une note positive, bien qu'elle mette en lumière les dangers inhérents aux permissions qui peuvent être accordées à certains smart contracts, pourtant sûrs au premier abord.
Arkham : l'outil qui rend la blockchain totalement transparenteRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.
Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital