Un pirate vole 600 000 euros de cryptomonnaies et de NFT en exploitant une faille iCloud

Domenic Iacovone a eu la mauvaise surprise de se faire voler l’intégralité de ses actifs numériques par un pirate. Au total, ce sont pas moins de 650 000 dollars, soit environ 600 000 euros en cryptomonnaies et en NFT qui se sont envolés dans la nature. Le pirate a exploité une faille de sécurité présente dans l’application Metamask, qui stocke la phrase de récupération des wallets dans iCloud.

Cryptomonnaies et piratage ont toujours été liés, mais les butins se font de plus en plus impressionnants. Récemment, un pirate a subtilisé 560 millions d’euros en attaquant le réseau d’un jeu vidéo. Et il est loin d’être le seul. Les sommes atteignent bien souvent des millions, mais concernent généralement des opérations globales ayant touché plusieurs victimes. Or, lorsqu’une seule personne est ciblée, les dégâts peuvent également être considérables.

Ce week-end, Domenic Iacovone en a fait la douloureuse expérience. Tout commence vendredi dernier, lorsqu’il reçoit un étrange appel de la part d’Apple. Voyant s’afficher le numéro de l’entreprise, il ne se pose pas plus de questions et rappelle sans hésitation dans la foulée. À l’autre bout du fil, un prétendu employé de la firme lui indique que son compte a été piraté. Pour regagner le contrôle, on lui demande de fournir le code à usage unique envoyé sur son iPhone.

Sur le même sujet : Le FBI accuse des pirates nord-coréens du plus grand vol de cryptomonnaies de tous les temps

Il perd 600 000 euros en cryptomonnaies à cause d’une faille iCloud

De nouveau, Domenic Iacovone ne soupçonne pas l’arnaque et transmet le fameux. Quelques secondes plus tard, l’intégralité de ses portefeuilles virtuels a été vidée. 160 000 dollars en éther, 100 000 dollars en Ape Coin, 250 000 dollars de Tether, ainsi que son NFT Ape Yacht Club estimé à 80 000 dollars, tout a disparu. Au total, le montant des dégâts s’élève à 650 000 dollars, soit environ 600 000 euros.

Que s’est-il passé ? Selon un expert en cybersécurité se faisant appeler Serpent, tout reposerait sur une faille de l’application Metamask. Sur iPhone celle-ci stocke automatiquement la phrase de récupération des wallets de son propriétaire dans iCloud. En gagnant accès au compte de Domenic Iacovone, le pirate a donc pu récupérer la phrase de récupération, et donc gagner accès à ses actifs numériques.

Pour éviter de se faire avoir, Serpent conseille de ne jamais transmettre ses codes à usage unique à qui que ce soit, ni toute autre information personnelle, avant de rappeler qu’Apple n’appelle jamais directement ses clients. De son côté, MetaMask a appelé ses utilisateurs à de se rendre dans les paramètres pour désactiver les sauvegardes iCloud.