Scammeur, arrête de scammer ! – Alors que le volume d’échange mensuel de NFT en janvier 2022 a atteint 6,2 milliards de dollars, les propriétaires et acheteurs de NFT n’en ont pas fini avec les arnaques et les vols.
Un contrat de perdu, 13 NFT de volés
Un sentiment de déjà-vu, vous dites ? Un nouveau collectionneur de NFT connu sous le nom de Larry Lawliet a été victime d’une attaque sur son wallet Ethereum (ETH). Alors, qu’en est-il cette fois-ci ?
Lundi, un riche collectionneur de NFT a été victime d’un scam. Ce scam a permis à un heureux hacker de dérober la modique somme de 2,7 millions de dollars en NFT en quelques instants. Eh, oui ! Ça n’arrive pas qu’aux autres. Mais que les minters et autres degens qui n’ont jamais été victimes d’un scam osent lui jeter la pierre.
Le butin, nous vous le présentons ici :
- 7 Bored Ape Yacht Club ;
- 5 Mutant Ape Yacht Club ;
- 1 doodle.
>> 10% de réduction sur vos frais de trading ? Inscrivez-vous sur Binance (lien commercial) <<
Attaquer l’inattaquable
Non, le hacker que l’on personnifiera par le jolie nom « 0xD27 » – comme l’indique son adresse – n’a pas cracké Ethereum, la deuxième blockchain la plus sécurisée au monde. C’est parce que l’erreur est humaine que le hack a pu avoir lieu.
En effet, c’est parce que Larry a validé un mauvais contrat intelligent, peut-être trop intelligent, qu’il a été piégé. En fait, tout commence sur le Discord d’un nouveau projet NFT nommé « Moschi Mochi ». C’est ce Discord qui sera le premier à se faire hacker. Le hacker, probablement « 0xD27 », tout généreux qu’il est, invite les membres à minter une collection de 1 000 NFT donnant une chance de remporter 25 000 dollars dans un tirage au sort.
Larry saisit alors cette chance et effectue une transaction avec « 0xD27 » à hauteur de 0,49 ETH pour obtenir 14 de ces NFT. Et là, c’est le drame ! De nombreuses transactions sont approuvées en un éclair, toutes contenant l’adresse « 0xD27 » comme adresse approuvée. Les 13 NFT de Larry viennent de s’envoler et, avec eux, 2,7 millions de dollars.
Du coup, pas de hack d’Ethereum, mais une erreur qui a poussé l’acheteur à valider un contrat qui contenait le protocole « setApprovalForAll ». Ainsi, une fois ce contrat mis en place avec la première transaction, le programme a permis la validation de toutes les transactions suivantes sans demander la permission à Larry, qui ne s’est peut-être même rendu compte de rien.
Un problème, une solution, une évolution
Le problème avec les contrats intelligents est que l’on ne comprend pas forcément ce que l’on approuve. On sait ce que cela va nous coûter, mais on ne sait pas vraiment ce qui se cache dans le contrat. On peut toujours aller regarder dans « Details » sur Metamask, mais ce n’est pas très clair. Et surtout, si vous avez déjà participé au mint d’un NFT, vous savez à quel point le temps est compté. Vous ne regardez pas les termes de la transaction, car vous avez peur de perdre votre ticket.
Alors, comment sécuriser mes transactions NFT ?
- Effectuez toutes les procédures de due diligence possibles avant un mint, pour être certain d’obtenir ce pour quoi vous êtes venus ;
- Utilisez un burn wallet, créez une adresse secondaire sur laquelle vous transférez les fonds agrémentés des frais d’échange ;
- Si vous avez le temps malgré tout, vérifiez les termes de la transaction et n’échangez qu’avec des portefeuilles de confiance.
Aussi, on ne peut qu’ espérer que les portefeuilles s’améliorent. Ils pourraient, par exemple, nous alerter quand le wallet qui nous envoie un contrat est nouveau, ou quand il a effectué des transactions suspectes ou frauduleuses. Il pourraient aussi nous signifier le plus clairement possible ce que l’on signe et émettre des alertes quand certains protocoles, comme « setApproveForAll » ou « TransferFrom », sont activés.
Le marché des NFT est jeune et encore victime d’attaques et d’arnaques. Il faut que ce marché grandisse et soit accompagné par une législation solide, valorisante et sérieuse pour permettre à cette forme d’art naissante de prendre son envol. En attendant, le JDC ne peut que vous inviter à tout faire pour éviter les arnaques NFT.
Binance a désormais atteint une taille critique suffisante pour être en mesure de rendre coup sur coup dans ce genre d’escarmouche sur fonds de conquête de Bitcoin à l’échelle internationale. Pour vous inscrire sur l’exchange et vous faire votre propre opinion, c’est par ici. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).
