91 tokens non fongibles (NFT), dont la valeur totale est estimée autour des 2,8 millions de dollars, ont été volés. Les oeuvres font partie de la célèbre collection Bored Ape Yacht Club. Le pirate a d'abord piraté le compte Instagram des créateurs pour y partager un lien de phishing.

Un pirate est parvenu à s'emparer de 91 tokens non fongibles (NFT) de la collection Bored Ape Yacht Club (BAYC). Ultra populaire parmi les investisseurs, la collection se compose de 10 000 visages de singes et aura bientôt droit à sa propre trilogie de films animés produits par la plateforme Coinbase.

Le butin du hacker est évalué autour des 2,8 millions de dollars. Parmi les oeuvres numériques volées, on trouve 4 Bored Ape, six singes mutants et trois NFT du Club Kennel des Bored Ape.

Une attaque phishing sur Instagram a permis de voler des NFT populaires

“Il semble que le compte BAYC Instagram ait été piraté. Ne créez rien, ne cliquez pas sur des liens et ne liez pas votre portefeuille à quoi que ce soit”, a annoncé le compte Twitter officiel du projet ce lundi 25 avril 2022. Pour tromper les internautes, le pirate derrière l'attaque a visiblement pris le contrôle du compte Instagram de la collection.

Après avoir piraté le compte, l'attaquant a publié un post assurant que le Bored Ape Yacht Club allait offrir des terrains virtuels à ses fans. Le hacker a été assez intelligent pour promettre une récompense qui cadre avec la véritable feuille de route du projet. Les créateurs du BAYC développent en effet un jeu dans le metaverse, qui comprendra des endroits et des biens virtuels.

La publication contenait un lien de phishing. En cliquant sur ce lien, les internautes étaient invités à connecter leur portefeuille numérique Metamask, qui stocke les NFT et les cryptomonnaies qu'ils détiennent. Attirés par l'appât du gain, de nombreux usagers ont connecté leur wallet sans réfléchir et ont approuvé la transaction demandée.

“Le pirate a publié un lien frauduleux vers une copie du site Web de BAYC avec un faux Airdrop, où les utilisateurs ont été invités à signer une transaction”, expliquent le compte Twitter de la collection.

C'est là que le pirate est parvenu à ses fins. Il a transféré les NFT détenus sur les portefeuilles des investisseurs BAYC sur son propre wallet. “Immédiatement après avoir découvert le piratage, nous avons alerté notre communauté, supprimé les liens vers le compte Instagram compromis de nos plateformes et tenté de récupérer le compte”, soulignent les créateurs. Malgré l'avertissement promptement émis par les créateurs, de nombreux internautes ont été dépouillé lors de l'attaque.

Lire aussi : attention, un NFT malveillant permet de voler toutes vos cryptomonnaies

Le pirate a contourné l’authentification à deux facteurs d'Instagram

Les créateurs de la collection assurent que le compte Instagram du Bored Ape Yacht Club était sécurisé avec l'authentification double facteur. Cette sécurité permet généralement de garantir l'authenticité de l'identité d'un utilisateur grâce à deux informations différentes : un mot de passe accompagné d'un code envoyé par SMS ou par mail.

“L'authentification à deux facteurs était activée et la sécurité entourant le compte Instagram était optimale Nous avons repris le contrôle du compte et enquêtons sur la façon dont le pirate a obtenu l'accès”, détaillent les individus en charge de la collection. Pour l'heure, la manière dont les pirates sont parvenus à prendre le contrôle du compte Instagram reste un mystère absolu.

Pour Paul Walsh, expert en sécurité informatique et PDG de la firme MetaCert, l'attaquant a utilisé “une attaque de phishing par proxy inverse”. Dans le cadre d'une opération de ce genre, le pirate récupère “les informations d'identification et les informations sensibles telles qu'un mot de passe” ainsi que le code envoyé par SMS ou par mail par Instagram.

Il peut alors se connecter sans la moindre difficulté au compte. “Le proxy inverse collecte également des jetons 2FA lorsque le site Web y est invité. Les attaquants peuvent ensuite collecter ces jetons 2FA en temps réel, pour accéder aux comptes des victimes”, explique l'expert, assurant qu'un des membres de l'équipe BAYC a été visé par une attaque de cet acabit.

Ce n'est pas la première fois qu'un escroc pirate un canal de communication pour voler les NFT du Bored Ape Yacht Club. Début du mois d'avril, le serveur Discord de la collection a été piraté. Le criminel n'est parvenu à s'emparer que d'une seule oeuvre numérique certifiée sur la blockchain avant que l'équipe du BAYC ne prenne des mesures.