1,5 million d'euros en jetons non fongibles (NFT) viennent d'être dérobés lors d'une vaste campagne de phishing. Au total, 32 investisseurs de la plateforme OpenSea ont été dépouillés de leurs oeuvres numériques par un pirate. Le nom du hacker a fini par être découvert. 

Ce samedi 19 février 2022, OpenSea, l'une des plus importantes plateformes de vente de jetons non fongibles (NFT), s'est rendue compte d'un piratage. D'après l'équipe d'OpenSea, une attaque phishing de grande ampleur est parvenue à tromper les investisseurs ayant ouvert un compte sur le site web.

“Nous enquêtons activement sur les rumeurs d'une faille de sécurité associée aux contrats intelligents liés à OpenSea. Cela semble être une attaque d'hameçonnage provenant de l'extérieur du site Web d'OpenSea”, a rapidement réagi OpenSea, leader du marché des NFT, sur son compte Twitter. Dès dimanche, la plateforme a pu confirmer qu'aucune faille n'a été exploitée. Il s'agissait bien d'une simple attaque phishing visant à récolter les identifiants des investisseurs.

Sur le même sujet : Le site itch.io déclare que les NFT sont « une arnaque » et demande aux fans de crypto de « changer de vie »

Un pirate vole pour 1,5 million d'euros de NFT, son nom est rapidement découvert

D'après les informations obtenues par The Verge, 1,7 million de dollars, soit près de 1,5 million d'euros, ont été subtilité lors d'une campagne de phishing. Apparemment, 32 utilisateurs de la plateforme sont tombés dans le piège tendu par les pirates. Des oeuvres numériques populaires et très valorisées comme Bored Apes, Azuki et CloneX ont été subtilisées.

Devin Finzer, cofondateur d'OpenSea, a rapidement confirmé l'ampleur des dégâts sur son compte Twitter. “Il semble que 32 utilisateurs aient jusqu'à présent interagi avec un courriel malveillant. L'attaque ne semble pas être en cours à ce stade – nous n'avons vu aucune activité malveillante sur le compte de l'attaquant en 2 heures. Certains des NFT ont été rendus”, précise Devin Finzer.

Apparemment, le pirate derrière le hack est entré en contact avec les internautes par le biais d'un courriel électronique. Le mail encourageait les victimes à signer un nouveau contrat intelligent sur la blockchain dans le cadre d'une mise à jour d'OpenSea. Il a alors obtenu la possibilité de s'emparer des NFT inclus dans la collection des utilisateurs.

Sans surprise, OpenSea a tout mis en œuvre pour remonter jusqu'à l'auteur de l'attaque. D'après un expert du secteur ayant enquêté sur la blockchain, qui se fait appeler charliemarketplace.eth sur Twitter, le nom du pirate aurait déjà été découvert par les équipes d'OpenSea.  Le hacker opérerait sous son vrai nom sur plusieurs plateformes d'échange imposant la vérification d'identité, comme Coinbase. De fait, il a été facile de remonter jusqu'à lui. Pour rappel, le marché des NFT pèse jusqu'à 22 milliards de dollars.

Source : The Verge