Discord et NFT – Le nouvel Eldorado pour les hackers
Hacker vaillant, rien n’est impossible ! – Et quand un réseau social est à la mode, couplé à de fortes possibilités de gains, il ne faut pas longtemps avant que les hackers ne viennent s’installer. Discord en fait les frais avec tous les projets NFT qu’il héberge.
Semer la discord pour récolter des gains conséquents
« Tag 14 amis, like, RT, danse sur un pied enroulé dans une couverture en ciment et rejoins-nous sur Discord ! »
Qui n’a jamais vu passer ce genre de messages sur Twitter, incitant à rejoindre un canal sur Discord pour avoir une chance de gagner un NFT, développé par un projet qui cherche à se faire connaître ?
Si vous les avez vu passer, alors les hackers aussi. Et quelles sont les conditions pour qu’un hacker s’intéresse à quelque chose ?
- Que ce qui est mis en avant soit utilisé par le plus de monde possible
- Qu’il y ait un gain potentiel et conséquent de préférence.
Les projets NFT hébergés sur Discord remplissent ces deux conditions. En effet, Discord est devenu LA plateforme de référence pour tous les projets, qu’ils soient fiables ou non. Si vous suivez ce qui se passe dans le monde du NFT, vous devez certainement être membre d’une vingtaine de salons. Vous avez dû vous identifier, confirmer votre wallet. Vous êtes peut-être passé par un site externe pour obtenir une certification afin de vous donner un « grade » sur le projet.
Ce sont toutes ces petites étapes qui vous autoriseront à minter, créer, un NFT que les hackers utilisent pour siphonner votre wallet, celui du projet, et de tous ceux qui auront le malheur de cliquer sur le mauvais lien.
Chaleur, NFT et salons non protégés, le trio parfait !
En juin, les attaques de type phishing, les plus utilisées, ont augmenté de plus de 55 % par rapport au mois de mai, rien que sur Discord. On estime que les hackers ont ainsi récupéré plus de 22 millions de dollars en moins de 2 mois.
Beaucoup de ces hacks passent inaperçus pour l’utilisateur, car la personne qui vous demande de cliquer sur un lien frauduleux n’est autre que l’administrateur du salon Discord. En effet, nombre de ces arnaques utilisent des failles qui permettent de prendre le contrôle des comptes administrateurs.
La suite est facile, il suffit de publier sur les salons, un lien qui semble honnête, lié au projet, et la communauté mord à l’hameçon. Certains malins désactivent même totalement les droits des modérateurs. Dès lors, ils ne peuvent rien faire d’autres qu’assister au massacre, sans pouvoir intervenir ou prévenir les membres du projet.
Les hackers jouent beaucoup sur le fait que dans ce genre de projets NFT, tout est fait dans l’urgence. Les concours sont éphémères, vous n’avez parfois que quelques heures, voire minutes, pour valider une action afin d’avoir une potentielle chance de gain.
Ainsi, lorsque les pirates postent un lien malveillant, les utilisateurs se jettent dessus pour être les premiers à gagner. Et surtout, les premiers à perdre.
N’allez pas imaginer que seuls les petits projets se font pirater. Même s’il est effectivement plus facile de hacker un petit salon, certainement mal protégé, les grands maitres du NFT se sont également fait avoir. BAYC, Lacoste, BubbleWorld et bien d’autres figurent en haut de la liste, aux cotés de projet minuscules.
« Nos serveurs Discord ont été brièvement exploités aujourd’hui. L’équipe a réagi et a traité rapidement. Environ 200 ETH de NFT semblent avoir été touchés. Nous enquêtons toujours, mais si vous avez été impacté, envoyez nous un e-mail à [email protected]. »
Bored Ape Yacht Club (@BoredApeYC)
Une fois vos cryptos, ou encore pire, vos NFT dérobés, ils sont revendus rapidement, via les plateformes de marché NFT comme OpenSea, contre des ETH en général.
Les hackers dispatchent ensuite les gains sur plusieurs porte-monnaie. Puis, ils passent par des protocoles comme Tornado Cash. Ces derniers permettent de masquer les transactions afin de pouvoir éparpiller les gains sur d’autres wallets. Ni vu ni connu.
Les actions, qui semblent similaires à chaque fois, sont certainement l’œuvre d’un même groupe. Elles sont rapides, efficaces et coordonnées, afin d’exploiter les failles sur plusieurs projets de manière simultanée.
Comment se protéger de ces attaques ?
Déjà, être conscient que ces manœuvres frauduleuses existent, est un premier bouclier. La sensibilisation vous évitera de cliquer à tort et à travers, surtout quand la proposition a l’air bien trop belle pour être vraie.
Si un lien, un jeu concours ou toute autre proposition faite sur le salon vous semble louche, ne cliquez pas. Ne vaut-il pas mieux louper une occasion, réelle, de gagner un NFT (qui avouons le, ne vous servira à rien dans 99 % des cas), que de voir son wallet se faire vider en quelques secondes ?
Du côté des créateurs des salons, il existe une série de vérifications et de manipulations à faire afin de sécuriser au mieux leurs discord.
Assurez-vous donc que les administrateurs savent ce qu’ils font. Posez des questions, n’hésitez pas à visiter tous les salons, à interroger les modérateurs. Si vous sentez que ça les agace ou qu’ils prennent la sécurité à la légère, fuyez ! Vous aurez bien l’occasion de trouver d’autres projets dans la semaine, la journée voire la minute qui suit !
Il est difficile de savoir si un projet est sérieux. Et même s’il existe beaucoup de méthodes d’analyses et de red flags souvent apparents, même le plus honnête (et connu) des projets est susceptible de se faire hacker.
Il n’existe malheureusement pas de méthode magique pour ne pas tomber dans le panneau. La meilleure protection dans l’histoire, c’est vous. Prenez le temps de lire, de vous renseigner, suivez les réseaux sociaux et surtout ne cliquez pas n’importe comment dans la précipitation, juste pour gagner une white liste permettant de minter un NFT d’écureuil mort.
Mettez vos cryptos bien à l’abri dans votre wallet. Pour acheter du Bitcoin sans même vous en rendre compte, inscrivez-vous sur Bitstack… et gagnez gratuitement 5€ de BTC grâce au code JDC5 (lien commercial) !