Un hacker a volé des NFT Bored Ape d’une valeur de 3 millions de dollars
Un pirate est parvenu à dérober 91 tokens non fongibles (NFT) de la collection Bored Ape Yacht Club. Le butin est estimé autour des 3 millions de dollars. Pour piéger les investisseurs, l'attaquant a pris le contrôle du compte Instagram officiel du projet en contournant l'authentification à 2 facteurs du réseau social.
Le compte Instagram officiel du Bored Ape Yacht Club a été piraté
Le Bored Ape Yacht Club (BAYC), l'une des collections de tokens non fongibles (NFT) les plus populaires du marché, vient d'être victime d'un piratage de grande ampleur. Dans un thread publié sur Twitter ce lundi 25 avril 2022, Yuga Labs, la société à l'origine du projet, explique comment un attaquant est parvenu à voler un total de 133 NFT, dont plusieurs singes de la collection Bored Ape.
Le hacker à l'origine de l'attaque s'est d'abord approprié le contrôle du compte Instagram officiel du projet. Dans un second temps, « le pirate a publié un lien frauduleux vers une copie du site web du BAYC avec un faux Airdrop ».
L'attaquant promettait d'offrir des terrains virtuels dans le metaverse aux internautes. Pour endormir les soupçons de ses cibles, le hacker s'est appuyé sur la véritable feuille de route dévoilée par Yuga Labs. Les créateurs des Bored Ape prévoient en effet la vente de 200 000 parcelles de terrain dans un nouveau monde virtuel appelé MetaRPG.
Le lien encourageait les internautes à connecter leur wallet numérique Metamask et à valider une transaction. En signant cette transaction, les victimes ont donné l'autorisation au pirate de s'emparer de leurs tokens non fongibles. Les NFT volés ont été transférés sur le wallet de l'escroc.
Parmi les Bored Ape subtilisés lors du hack, on trouve 4 Bored Ape, six Mutant Ape, un CloneX et trois Bored Ape Kennel Club NFT. La valeur des tokens non fongibles volés est estimée autour des 3 millions de dollars, annonce Yuga Labs dans un communiqué relayé par plusieurs médias, dont ZDNet.
D'après Molly White, ingénieur logiciel responsable du projet Web3 is Going Great, 44 internautes sont tombés dans le piège. Les créateurs de la collection Bored Ape Yacht Club demandent aux usagers lésés de prendre contact avec eux :
« Si vous avez été affecté par le piratage ou si vous avez des informations qui pourraient être utiles, contactez [email protected]. Vous devez d'abord nous contacter, nous n'allons pas initier le contact ».
? Plus d’information sur le metaverse et les univers virtuels
Cryptoast Academy : 75% de réduction avant le Black Friday pour fêter le bullrunLe pirate a exploité une faille de sécurité du Web2
Une fois que Yuga Labs s'est rendu compte du hack, des mesures ont été prises. La start-up a rapidement alerté sa communauté, supprimé les liens relayant vers le compte Instagram et a tout fait pour reprendre le contrôle du compte. Les créateurs des Bored Ape affirment que l'authentification double facteur était activée sur le compte :
« Au moment du piratage, l'authentification à deux facteurs était activée […]. Nous avons repris le contrôle du compte et enquêtons sur la façon dont le pirate a obtenu l'accès ».
D'après Paul Walsh, expert en sécurité informatique et PDG de la firme de cybersécurité MetaCert, le pirate s'est appuyé sur « une attaque de phishing par proxy inverse ». Dans un billet sur Médium, l'expert explique que ce type d'attaque permet à la fois d'obtenir les informations d'identification, comme le nom et le mot de passe, et le code d'authentification envoyé par Instagram par mail ou par SMS. Il précise :
« Je soupçonne que c'est ce qui est arrivé à un membre de l'équipe du Bored Ape Yacht Club. Cette attaque est impossible à empêcher car la sécurité traditionnelle du réseau, du cloud et des terminaux repose sur la tâche impossible de détecter des millions de nouvelles URL malveillantes créées par des criminels chaque mois ».
De facto, le pirate a exploité une faille de sécurité de l'infrastructure du Web2 pour s'emparer d'actifs numériques du Web3. La blockchain et la technologie des NFT ne sont pas responsables du vol des actifs numériques. En l'occurrence, la faille n'a rien à avoir avec le Web3.
Il n'est pas rare que ce soit des services du Web2 qui mettent en danger les utilisateurs du Web3. Début du mois d'avril, le serveur Discord du Bored Ape Yacht Club a d'ailleurs été piraté. L'attaquant y a déployé un lien de phishing avant que Yuga Labs ne reprenne le contrôle du serveur. Un seul NFT a été dérobé dans l'opération.
💡 Sur le même sujet – Lancement de l’ApeCoin (APE), la cryptomonnaie du Bored Ape Yacht Club
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Sources : Twitter, Zdnet, Web3 is Great, Medium