Un NFT malveillant permet de voler toutes vos cryptomonnaies

Un NFT malveillant déployé par des pirates met vos cryptomonnaies en danger. D'après une enquête, une faille de sécurité repérée sur Rarible a permis pendant un temps de piéger les investisseurs. Un correctif a été déployé mais un NFT d'une valeur de 500 000 dollars a été volé.

Les chercheurs en sécurité informatique de Check Point ont découvert une faille dans la plateforme de vente de tokens non fongibles (NFT) de Rarible. Concurrent du leader OpenSea, Rarible compte plus de deux millions d'utilisateurs actifs.

D'après l'enquête de Check Point, cette brèche de sécurité permet de voler les cryptomonnaies détenues sur les portefeuilles numériques des investisseurs. Il est également possible de subtiliser les NFT achetés par les utilisateurs en exploitant cette défaillance.

Comment un NFT malveillant peut permettre de vider votre portefeuille ?

Pour piéger les investisseurs, des pirates souhaitant exploiter la faille doivent partager un lien vers un “NFT malveillant”. Ce token exécute alors du code JavaScript et demande à l'utilisateur un accès complet à ses portefeuilles. Trompée par un message rassurant, la cible accorde alors l'accès aux criminels.

Check Point affirme que la faille a déjà été exploitée par le passé. Une attaque similaire contre Jay Chou, un célèbre chanteur taïwanais, a été repérée début du mois d'avril. En exploitant la brèche, des escrocs sont parvenus à voler un NFT de la collection Bored Ape Yacht Club d'une valeur de 500 000 dollars.

“Toute petite vulnérabilité peut éventuellement permettre aux cybercriminels de détourner des portefeuilles de cryptomonnaies en coulisses. Nous sommes toujours au point où les marchés qui utilisent les protocoles Web3 font défaut du point de vue de la sécurité. Les implications à la suite d'un piratage peuvent être extrêmes”, expliquent les chercheurs de Check Point. En effet, il n'est pas rare que des NFT soient volés lors d'une attaque informatique.

Fort heureusement, Check Point a averti Rarible de la présence d'une défaillance dans son protocole de sécurité. La plateforme a promptement déployé un correctif afin d'assurer la sécurité des fonds de ses usagers.

Check Point recommande de rester prudent lorsque vous recevez “des demandes de signature” sur une plateforme de NFT et d' “examiner attentivement ce qui est demandé”. En cas de doute, les internautes doivent impérativement rejeter la demande.