Airdrop et offre juteuse : la nouvelle arnaque aux NFT
NFT la carotte préférée des hackers – Les hackers de l’écosystème des cryptos redoublent sans cesse d’ingéniosité. Ces derniers l’ont compris, les détenteurs de NFT sont des cibles de choix pour mener leurs attaques. C’est ainsi que chaque semaine nous voyons émerger de nouvelles méthodes pour dérober vos précieuses cryptomonnaies.
NFT : le domaine de prédilection des hackers
Les NFT ont de loin été la tendance la plus vibrante du dernier bull run. De surcroît, ces derniers ont réussi à se démocratiser hors des barrières de l’écosystème des cryptomonnaies.
Évidemment, leur démocratisation a attiré de nombreux nouveaux utilisateurs et par conséquent, victimes potentielles pour les hackers.
Ainsi, nous avons vu émerger de nombreux types d’arnaques relier à l’écosystème des NFT. La plateforme Discord a notamment été une cible privilégiée pour la publication de liens de phishing.
En parallèle, de nombreuses arnaques ont fleuri sur Twitter ayant pour but de dérober cryptomonnaies et NFT.
Airdrop de NFT : attention aux arnaques
Évidemment, les hackers cherchent sans cesse de nouvelles méthodes pour dérober vos cryptomonnaies.
Ainsi, au début du mois d’octobre, l’utilisateur @0xQuit a dévoilé une nouvelle méthode d’arnaque à travers un thread Twitter.
« Certains d’entre vous ont reçu des airdrops de NFT avec des offres WETH juteuses. Évidemment, vous vous êtes probablement demandé s’il était prudent de les accepter. Je vois encore une tonne de fausses informations circuler à ce sujet. Clarifions en quoi il s’agit d’escroqueries et comment cela fonctionne. »
Airdrop de NFT et offres juteuses
De nombreux utilisateurs ont eu la surprise de recevoir gratuitement des NFT sur leur adresse Ethereum. Si vous êtes actif dans l’écosystème des NFT vous vous êtes probablement dit qu’il s’agissait du airdrop d’un projet lié à l’un de vos NFT.
Cependant, il s’agit là d’une arnaque rondement menée.
En effet, l’attaquant va généreusement vous envoyer un NFT d’une nouvelle collection jusqu’ici inconnue.
Quelque temps après avoir reçu ce NFT, vous verrez apparaître une offre d’achat juteuse pour ce NFT. Évidemment, il est tentant d’accepter cette offre et empocher des gains.
0xQuit a cherché à identifier les risques afin que vous ne vous fassiez pas avoir.
Accepter l’offre : réel risque ou détournement d’attention ?
Évidemment, la première question à se poser est la suivante : quels sont les risques encourus en acceptant cette offre ?
La réponse est pour le moins surprenante : il n’y a pas de risque.
« Il est important de savoir qu’accepter une offre WETH ne peut JAMAIS vous compromettre hors d’un autre NFT, à moins que ce NFT ait une équipe de développement terriblement incompétente. »
En effet, pour que l’attaquant puisse siphonner votre wallet celui-ci doit obtenir d’une manière ou d’une autre votre approbation. Accepter une offre OpenSea sur un de vos NFT ne lui octroie pas le droit d’accéder à vos autres NFT.
Mais alors on peut accepter l’offre et vendre le NFT à l’attaquant ? Oui, mais non. En effet, ces NFT disposent d’une conception particulière. Ainsi, si vous n’êtes pas inclus dans une liste de wallets spécifiés dans le contrat de la collection vous n’êtes pas en mesure de vendre le NFT. Par conséquent, le NFT vous appartient, mais la collection est faite de manière à ce que vous ne puissiez pas le vendre.
En réalité, l’airdrop de ce NFT ainsi que l’offre alléchante ne sont que des détournements d’attention pour vous faire tomber dans la vraie arnaque.
Arnaque phishing : le cas classique
En effet, l’arnaque ne se situe pas au niveau du NFT ni au niveau de l’offre. Cependant, ces deux éléments sont là pour attirer votre attention. En effet, vous allez probablement tenter d’en savoir plus sur le projet qui vous a envoyé ce NFT.
De plus, vous avez peut-être remarqué que vous ne pouviez pas accepter l’offre et chercher un moyen de débloquer la situation.
C’est là que l’attaquant espère que vous tombiez dans le panneau. Ainsi, l’arnaque se situe dans la description de la collection de NFT. Sur la page OpenSea du NFT, nous pouvons lire la description de la collection. Surprise, à la fin de celle-ci un lien vous permet d’obtenir plus de détails sur cette surprenante collection.
C’est là que les rouages de l’arnaque se mettent en marche. En effet, une fois sur le site, celui-ci requiert une signature de la part de l’utilisateur pour interagir avec le site. Vous vous en doutez, il s’agit là du dénouement de l’arnaque. En effet, cette transaction n’est autre qu’un « setApprovalForAll » qui accorderait le droit à l’attaquant de prendre le contrôle de l’ensemble de vos NFT.
Prudence est mère de sûreté
Comme nous venons de le voir, les hackers trouvent des moyens pour baisser notre vigilance. Ainsi, dans ce cas le NFT reçu gratuitement ainsi que l’offre alléchante sont là pour faire tomber votre vigilance.
L’offre alléchante est créée pour engendrer de la curiosité de votre part. Couplé à l’appât d’un gain potentiel, l’attaquant espère que vous baisserez votre garde pour mieux tomber dans son piège qui n’est autre qu’un simple lien de phishing.
Comme toujours, restez vigilant. Il est primordial de toujours vérifier le type de transaction que vous signez. Si vous avez un doute, ne faites rien et effectuez des recherches préalables.
Les attaques de type phishing font des ravages dans l’écosystème NFT. Entre mai et juin 2022, des hackers ont réussi à dérober pas moins de 22 millions de dollars rien que via des attaques phishing sur Discord.