Ils siphonnent les ETH et les NFT des comptes MetaMask : ne tombez pas dans le panneau !
L’écosystème NFT a connu une croissance démentielle au cours des derniers mois. Face à l’afflux constant de fonds dans le domaine, un nouveau type d’attaquant essaye d’en profiter pour dérober vos précieuses cryptomonnaies.
L’arnaque aux NFT
Depuis quelques jours, les témoignages d’attaques et de piratage de comptes Metamask se multiplient au sein de la crypto-sphère Twitter.
Ainsi, suite à l’initiative lancée par @fvckrender, de nombreux internautes ont témoigné concernant des “attaques aux NFT”.
En pratique, l’attaquant envoie un fichier vérolé à sa cible, ce fichier peut être un fichier .scr, .rar, un .exe ou d’autres types de fichiers. Après que le fichier ait été ouvert, un script contenu dans celui-ci va corrompre le portefeuille Metamask de la victime. Une fois corrompu, l’attaquant est en mesure d’accéder au portefeuille et de le siphonner.
D’après les témoignages rapportés par la communauté, les attaquants semblent majoritairement viser des artistes NFT. Les auteurs prétextent souhaiter collaborer avec l’artiste pour la création d’un NFT.
Par exemple dans le cas de @GotTheJoose, l’attaquant explique à l’artiste qu’il doit réaliser son travail sur une application créée par le client, application qui contient un logiciel malveillant.
Bien que les détails puissent varier d’attaque en attaque, celles-ci reposent toutes sur le téléchargement d’un fichier vérolé.
Comment se protéger ?
Les attaques dites de “social engineering” ou ingénierie sociale visent à pousser la victime à se compromettre elle-même, soit en divulguant des informations utiles à l’attaquant, soit en téléchargeant un programme malveillant.
Pour se prémunir face à ce type d’attaque, il convient de faire attention aux fichiers téléchargés, qui plus est s’ils vous sont envoyés par un inconnu via les réseaux sociaux.
Par ailleurs, il est important de rappeler qu’il faut à tout prix éviter de stocker des sommes trop importantes sur des wallets du type Metamask. Il est préférable d’avoir recours à un cold wallet ou à un hardware wallet pour les grosses sommes.