# 🌍 — IRL

Opensea, compte compromis, NFT et Phishing : 500,000$ partis en fumée

Par Kevin HA | kha.eth | kevinha.tez , le 13 décembre 2021 - 4 minutes de lecture
Deux NFT (BAYC et Doodles) volés sur Opensea

Pour mémoire, je rédigeais, il y a quelques semaines un guide des bonnes pratiques eu égard à la sécurité des NFT. Malgré tout, il s’avère que de nombreuses personnes -même de gros collectionneurs- se font avoir et se font voler leurs assets. Pour les personnes mal intentionnées, toutes les techniques sont bonnes, dont celle du phishing 1. Dans le cas exposé, la personne s’est faite dérober un BAYC et un Doodle, valeur estimée : $500,000, soit près de 443,000€ -un demi million ! Je vous invite ainsi à redoubler de vigilance quant aux sites que vous visitez et sur lesquels vous connectez votre portefeuille (wallet). Aussi, cela va sans dire, mais cela va mieux en le disant : ce qui est trop beau et souvent très faux.

Deux NFT -d'une valeur de plus de 440 000€- dérobés depuis OpenSea
Deux NFT -d’une valeur de plus de 440 000€- dérobés depuis OpenSea

Le cas infra concerne une personne équipée d’un wallet hardware qui respecte, presque, tous les pré-requis. Ses clés privées et sa speed phrase n’ont pas été compromises et transmises. Vous vous demandez donc comment le voleur a bien pu procéder sans ces éléments ? Showtime !

Contexte : deux NFT (BAYC #8167 et Doodles #2779) ont été vendus pour 0.00000000001 ETH sur OpenSea sous forme de bundle. La seule approbation quant à cette transaction est celle d’OpenSea. Vu, ci-dessus, l’utilisateur utilise un wallet hardware.

    1. Le propriétaire desdits NFT apprend sur Twitter qu’une nouvelle place de marché propose un airdrop pour les propriétaires de NFT notables (comme BAYC ou Doodles). L’airdrop est une pratique qui consiste à distribuer gratuitement une cryptomonnaie ou un NFT à un tiers. Il n’y a donc aucune compensation financière réclamée. L’aubaine ! Lorsque l’utilisateur a souhaité réclamer son dû, il lui a été demandé de signer un message. Ce qu’il fait grâce à sa clé Trezor (wallet hardware).
    2. Que s’est-il réellement passé lorsque l’utilisateur a signé le message ? Plutôt que d’obtenir le airdrop promis, le message a créé une vente privée personnalisée sur Opensea qui concerne les deux NFT évoqués supra pour exactement 0,00000000001 ETH. Cette vente est exclusivement liée à l’adresse publique du voleur afin que lui seul puisse jouir de la cession.
    3. Deux jours plus tard, le voleur réalise la transaction à l’insu de l’utilisateur et cède dans la foulée les deux NFT pour 48,6 ETH Ξ. Aussitôt dit, aussitôt fait. OpenSea, face à l’étrangeté de la transaction marque le compte de l’utilisateur comme … compromis !
    4. Bien entendu, cela n’a été possible que parce que l’utilisateur a malencontreusement donné son accord pensant réaliser une « bonne affaire ». In fine, même avec l’utilisation d’un wallet hardware il aura suffi d’un message signé. Phishing.
    5. Vous vous demandez sans doute comment éviter qu’une telle chose ne vous arrive ? Nous l’avons vu dans notre guide « comment sécuriser ses NFT ? » dont voici un extrait :

      Votre portefeuille bénéficie de plusieurs adresses ETH. Nous suggérons fermement d’en utiliser une comme coffre-fort pour vos NFT et de ne pas effectuer de transactions ou signer de messages depuis celle-ci. De cette façon, vous éviterez tout risque lié au mint d’un contrat malveillant, non vérifié etc. En sus, il est préférable d’utiliser un « wallet software » comme « tampon » pour vos achats. Certes, cela a un coût. Celui, du Gas fee lorsque vous transférerez vos acquisitions vers votre adresse « coffre-fort ».

    6. Si malgré cette recommandation, pour des raisons économiques, vous souhaitiez continuer à utiliser la même adresse de wallet comme coffre-fort (vault) et comme adresse de transaction, vérifiez sur https://revoke.cash les autorisations de jetons ERC721 que vous avez précédemment approuvées. N’hésitez pas à supprimer (revoke) celles que vous trouverez. Ainsi, même si vous signez un message malveillant, vos NFT resteront en sécurité.
    7. Enfin, soyez vigilant et attentif à ce que vous signez et approuvez avec vos adresses, notamment celles qui contiennent de précieux assets.

N’hésitez pas à partager ce témoignage avec vos proches et soyez prudent !


Phishing : l’hameçonnage ou phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité

Kevin HA | kha.eth | kevinha.tez

Digital ❤️, 🏃🏻. Web1 ✔️, Web2 ✔️, vers le Web3. Gluten et Lactose free mais avec un peu de PSG. Président — CEO Cotton Bird - E-Commerce, Atelier de papeterie pour événements heureux. CA 20M. Ex. Collaborateur Parlementaire LREM. Ex. Directeur Général Délégué Alice's Garden - E-Commerce, Grand importateur d'équipement d'extérieur. CA : 55M (2019). #NFT 🖼 #WEB3

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.