Un hack à 1,7 million de dollars implique les utilisateurs d'OpenSea

Un nouveau hack pour OpenSea

À peine un mois après son dernier hack, la plateforme de tokens non fongibles (NFT) OpenSea fait de nouveau la une de l’actualité. Bien que cette fois-ci elle n’y soit pour rien, plusieurs de ses utilisateurs ont eu la mauvaise surprise samedi soir de voir leurs NFTs cédés gratuitement.

Selon Devin Finzer, le PDG d'OpenSea, 32 utilisateurs de la marketplace auraient été lésés en autorisant un smart contract à transférer leur précieuse collection. La méthode de phishing utilisée est à ce jour inconnu, mais la faille ici est donc humaine et non du ressort de la plateforme :

As far as we can tell, this is a phishing attack. We don’t believe it’s connected to the OpenSea website. It appears 32 users thus far have signed a malicious payload from an attacker, and some of their NFTs were stolen.

— Devin Finzer (dfinzer.eth) (@dfinzer) February 20, 2022

Pour réussir son opération, le hacker a déployé son smart contract il y a environ un mois. Cela a laissé le temps aux futures victimes de signer une « demi-transaction » à leur insu qui permettrait au voleur de recevoir son butin gratuitement. Ce dernier n’a eu plus qu’à valider définitivement les « ventes » au moment de son choix, lui permettant de récupérer parfois plusieurs NFTs en une seule transaction.

Pour les plus techniques d’entre vous, le processus est expliqué plus en détail dans ce thread :

Seen confusion about the OS thing so.

Attacker had people sign half of a valid wyvern order, the order was basically empty except the target (attacker contract) and calldata, attacker signs other half of order.

— Neso (@Nesotual) February 20, 2022

Après avoir réussi son opération, le hacker n’aura eu plus qu’à vendre ses prises et blanchir le tout au moyen du mixeur Tornado Cash. Le litige s’élèverait donc à 1,7 million de dollars.

Sur OpenSea, si l’on prend au hasard l'un des NFTs liés à ce hack, on peut effectivement voir dans l’historique qu’une première transaction se fait sans compensation à destination de l’adresse du coupable, et que celui-ci le revend une heure plus tard pour 13,5 ETH.

👉 Découvrez comment sécuriser vos cryptomonnaies avec un hardware wallet 

L’humain reste la faille numéro une

L’ironie de l’histoire est que cela intervient 24 heures avant la migration des NFTs de la plateforme sur un nouveau smart contract. Celui-ci apporte un correctif suite au dernier hack d’OpenSea qui avait permis l’exécution de ventes bien en dessous des prix du marché.

Concernant cette affaire, certaines spéculations sont faites quant à la prétendue identité du coupable, mais cela reste des spéculations et rien, au moment de la rédaction de l’article, ne permet d’affirmer quoique ce soit avec certitude.

Quoi qu’il en soit, ce hack nous rappelle à quel point il est nécessaire d’être vigilant concernant les transactions que l’on signe et les autorisations que l’on donne. Les faux comptes de projets sont nombreux sur les réseaux sociaux, les mails ou messages privés de phishing également. Bien souvent, la première faille reste l’être humain lui-même. Personne n’est à l’abri d’une erreur, et c’est pourquoi il convient de ne jamais faire de transactions « à la va vite » ou de manipuler ses actifs lorsque notre état physique et émotionnel ne sont pas à 100 %.

? Dans l’actu également – Le fisc britannique saisit 3 NFTs dans le cadre d’une fraude de 1,4 million de livres sterling

Cryptoast Research

Passez vos investissements à la vitesse supérieure

Depuis 2021, je consacre mon temps libre à me former sérieusement sur les cryptomonnaies afin d'acquérir un maximum de connaissances et de crédibilité. J'ai souvent l'opportunité de réaliser des interviews de personnalités influentes de l'industrie blockchain. Je mène également des analyses approfondies sur des thématiques du Web3 pour proposer du contenu exclusif aux lecteurs de Cryptoast.

Vincent Maire

1269 articles

Tous ses articles