Des millions de dollars de NFT dérobés simultanément dans plusieurs wallets – Que s'est-il passé ?

Des millions de dollars de tokens non fongibles (NFT) provenant de collections phares comme celle du Bored Ape Yacht Club (BAYC), du Mutant Ape Yacht Club (MAYC) ou encore de Cool Cats ont été volés en raison d'une faille sur d'anciens smart contracts de NFT Trader. Que s'est-il passé pour qu'une telle attaque ait pu avoir lieu ?

Des millions de dollars de NFT dérobés simultanément dans plusieurs wallets – Que s'est-il passé ?

Plusieurs millions de dollars de NFT envolés, la plupart provenant du BAYC

Hier, samedi 16 décembre, de nombreux propriétaires de tokens non fongibles (NFT) issus de collections blue chip ont eu la malheureuse surprise de voir leurs œuvres numériques évaporées de leur portefeuille.

Au total, 36 NFT de la collection phare Bored Ape Yacht Club (BAYC) et 18 NFT de la collection dérivée Mutant Ape Yacht Club ont été détournés par le hacker, en plus de quelques NFT issus des collections World of Women, VeeFriends, Cool Cats ou Squiggle. Par ailleurs, les individus détenant des Apecoins (APE), les tokens liés au BAYC, se sont également fait dérober ces derniers.

Au total, le montant volé initialement se situait autour des 3 millions de dollars.

👉 Pour approfondir – Comment évaluer le potentiel d'une collection de NFTs ?

Qu'avaient en commun les malheureuses victimes de cette attaque de taille ? Ils avaient tous accordé une autorisation à au moins un smart contract à risque de la plateforme NFT Trader, qui a elle-même publié un communiqué confirmant la faille dans la journée :

« Nous avons subi une attaque sur d'anciens smart contracts, veuillez supprimer la délégation en utilisant Revoke.cash aux adresses suivantes [...]. »

Par la suite, l'attaquant a transmis un message on-chain quelque peu déroutant, indiquant que « les singes [comprendre les BAYC, NDLR] sont en sécurité, et ils finiront par revenir à leur utilisateur. ». Selon lui, il aurait d'abord souhaité profiter d'une faille initiée par un autre hacker, avant de se rendre compte qu'il pouvait siphonner de nombreux NFT à forte valeur.

blockquote icon

« Au début, comme d'habitude, je suis venu ici pour ramasser des déchets résiduels. Au début, je pensais que je ne pouvais obtenir que des TOKEN, mais j'ai fini par découvrir que je pouvais aussi obtenir des NFT. Je ne connais pas grand-chose aux NFT, mais j'ai regardé le prix des NFT et je pense qu'il y a beaucoup de profits à faire avec les exploits. [...] Si vous voulez récupérer le NFT du singe, il faut me payer une prime, c'est ce que je mérite. 1 BAYC = 30 ETH 1 MAYC = 6 ETH. Vous devez me payer 10 % d'ETH pour mon travail si vous avez un BAYC [...] Vous devez me payer 3 ETH si c'est un BAYC et 3.6 ETH si c'est un MAYC »

Auteur du vol des NFT

Sorare : le jeu de fantasy football le plus populaire
Publicité - Investir comporte des risques (en savoir plus)

Les NFT finalement retournés à leurs propriétaires

Dans un premier temps, l'attaquant semble avoir décidé de retourner certains NFT de son propre chef, avec même parfois une certaine somme en Ethers (ETH), comme l'a rapporté un propriétaire de BAYC volé sur X, après l'avoir récupéré :

« Et maintenant, le hacker vient de m'envoyer 31 ETH ? Que se passe-t-il ? Est-ce que c'est la réalité? »

 

Ce matin, Boring Security, un groupe de volontaires qui travaille à partager les bonnes pratiques de sécurité pour les détenteurs de NFT et qui mène parfois des enquêtes on-chain, a indiqué que les 36 BAYC et 18 MAYC leur avaient été retournés en échange d'une prime de 10 % du floor price des collections, et que le butin serait redonné aux victimes.

De son côté, le hacker a transféré les fonds qui lui ont été versés vers le mixeur de cryptomonnaies Tornado Cash afin d'effacer les traces on-chain.

Transactions NFT hacker

Capture d'écran montrant une partie des transactions effectuées par le hacker

 

Soulignons par ailleurs que grâce aux efforts de 0xfoobar, 0xf4d3 et 0xqit, certains NFT ont pu être récupérés rapidement et ces derniers ont réussi à faire en sorte que la faille soit corrigée en déployant un correctif on-chain suite à un accord avec NFT Trader.

Une histoire qui finira donc sur une note positive, bien qu'elle mette en lumière les dangers inhérents aux permissions qui peuvent être accordées à certains smart contracts, pourtant sûrs au premier abord.

Arkham : l'outil qui rend la blockchain totalement transparente
Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.


Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.


Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

Qu'est-ce qu'un bull run dans le monde des cryptomonnaies ?

Qu'est-ce qu'un bull run dans le monde des cryptomonnaies ?

Le cours du Bitcoin (BTC) dépasse les 60 000 euros pour la première fois de son histoire

Le cours du Bitcoin (BTC) dépasse les 60 000 euros pour la première fois de son histoire

+371 % pour le PEPE, +349 % pour le Dogwifhat (WIF)... Les memecoins explosent à la hausse

+371 % pour le PEPE, +349 % pour le Dogwifhat (WIF)... Les memecoins explosent à la hausse

Le Bitcoin bat son record historique de capitalisation boursière et s'approche de son ATH

Le Bitcoin bat son record historique de capitalisation boursière et s'approche de son ATH