Un nouveau hack pour OpenSea

À peine un mois après son dernier hack, la plateforme de tokens non fongibles (NFT) OpenSea fait de nouveau la une de l’actualité. Bien que cette fois-ci elle n’y soit pour rien, plusieurs de ses utilisateurs ont eu la mauvaise surprise samedi soir de voir leurs NFTs cédés gratuitement.

Selon Devin Finzer, le PDG d'OpenSea, 32 utilisateurs de la marketplace auraient été lésés en autorisant un smart contract à transférer leur précieuse collection. La méthode de phishing utilisée est à ce jour inconnu, mais la faille ici est donc humaine et non du ressort de la plateforme :

Pour réussir son opération, le hacker a déployé son smart contract il y a environ un mois. Cela a laissé le temps aux futures victimes de signer une « demi-transaction » à leur insu qui permettrait au voleur de recevoir son butin gratuitement. Ce dernier n’a eu plus qu’à valider définitivement les « ventes » au moment de son choix, lui permettant de récupérer parfois plusieurs NFTs en une seule transaction.

Pour les plus techniques d’entre vous, le processus est expliqué plus en détail dans ce thread :

Après avoir réussi son opération, le hacker n’aura eu plus qu’à vendre ses prises et blanchir le tout au moyen du mixeur Tornado Cash. Le litige s’élèverait donc à 1,7 million de dollars.

Sur OpenSea, si l’on prend au hasard l'un des NFTs liés à ce hack, on peut effectivement voir dans l’historique qu’une première transaction se fait sans compensation à destination de l’adresse du coupable, et que celui-ci le revend une heure plus tard pour 13,5 ETH.

👉 Découvrez comment sécuriser vos cryptomonnaies avec un hardware wallet 

Découvrir notre Groupe Privé

Du contenu à haute valeur ajoutée et rapide à consommer

L’humain reste la faille numéro une

L’ironie de l’histoire est que cela intervient 24 heures avant la migration des NFTs de la plateforme sur un nouveau smart contract. Celui-ci apporte un correctif suite au dernier hack d’OpenSea qui avait permis l’exécution de ventes bien en dessous des prix du marché.

Concernant cette affaire, certaines spéculations sont faites quant à la prétendue identité du coupable, mais cela reste des spéculations et rien, au moment de la rédaction de l’article, ne permet d’affirmer quoique ce soit avec certitude.

Quoi qu’il en soit, ce hack nous rappelle à quel point il est nécessaire d’être vigilant concernant les transactions que l’on signe et les autorisations que l’on donne. Les faux comptes de projets sont nombreux sur les réseaux sociaux, les mails ou messages privés de phishing également. Bien souvent, la première faille reste l’être humain lui-même. Personne n’est à l’abri d’une erreur, et c’est pourquoi il convient de ne jamais faire de transactions « à la va vite » ou de manipuler ses actifs lorsque notre état physique et émotionnel ne sont pas à 100 %.

👉 Dans l’actu également – Le fisc britannique saisit 3 NFTs dans le cadre d’une fraude de 1,4 million de livres sterling

bannière formation cryptomonnaies
Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Vincent Maire

twitter-soothsayerdata

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.
Tous les articles de Vincent Maire.

guest
0 Commentaires
Inline Feedbacks
View all comments