TECH: DISPARITION DE TOKEN
OpenSea le marché des NFT enquête sur une “attaque de phishing” après que deux douzaines d’utilisateurs aient perdu l’accès à leurs jetons.

Pen­dant plusieurs heures cet après-midi-là, l’at­taquant a ciblé 32 comptes et obtenu 254 jetons, selon une feuille de cal­cul com­pilée par le ser­vice de sécu­rité Blockchain Peck­Shield. Par­mi les NFT volés fig­urent des jetons des col­lec­tions Bored Ape Yacht Club et Azu­ki. Une esti­ma­tion de Mol­ly White, la créa­trice du blog Web3 is Going Great, a fixé le prix à 641 Ethereum (env­i­ron 1,7 mil­lion de dol­lars au moment de cet article).

“Nous sommes con­va­in­cus qu’il s’agis­sait d’une attaque de phish­ing”, a déclaré Devin Finz­er, co-fon­da­teur et PDG d’OpenSea, dans un tweet pub­lié tôt dimanche matin. “Nous ne savons pas où le phish­ing s’est pro­duit, mais nous avons pu exclure un cer­tain nom­bre de choses sur la base de nos con­ver­sa­tions avec les 32 util­isa­teurs concernés.”

Selon Finz­er, OpenSea a déter­miné que son site Web n’é­tait pas un vecteur de l’at­taque, et que per­son­ne n’a exploité une vul­néra­bil­ité jusque-là incon­nue dans les fonc­tion­nal­ités de frappe, d’achat, de vente et de cota­tion NFT de la plate-forme. “L’in­ter­ac­tion avec un e‑mail OpenSea n’est pas un vecteur d’at­taque”, a déclaré Finz­er. “En fait, nous ne savons pas si les util­isa­teurs con­cernés reçoivent ou cliquent sur des liens dans des e‑mails suspects.”

Comme l’a noté The Verge, l’at­taque a prob­a­ble­ment prof­ité d’un aspect du pro­to­cole Wyvern. De nom­breuses plates-formes Web3, dont OpenSea, utilisent la norme open source pour étay­er leurs con­trats. Un fil Twit­ter sug­gère que les per­son­nes ciblées dans la cam­pagne de phish­ing pour­raient avoir signé un accord par­tiel per­me­t­tant à l’at­taquant de trans­fér­er les NFT sans qu’au­cun Ethereum ne change de mains. En lien avec le fil, Finz­er a déclaré qu’il présen­tait un scé­nario “con­forme à notre com­préhen­sion interne actuelle” de la situation.

Bien qu’il y ait encore beau­coup de choses sur l’at­taque que nous ne savons pas, ce qui est clair, c’est qu’elle n’au­rait pas pu arriv­er à un pire moment pour OpenSea. Ven­dre­di, la société a intro­duit un nou­veau con­trat intel­li­gent et a demandé aux gens de migr­er leurs act­ifs. Il a égale­ment fait l’ob­jet de con­tro­ver­s­es récentes, d’abord avec un employé qui a démis­sion­né pour avoir util­isé des infor­ma­tions priv­ilégiées pour tir­er prof­it des baiss­es NFT, puis plus récem­ment sur la pré­va­lence de jetons faux, plag­iés ou spam sur sa plate-forme.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*