Opensea victime d’un hack de son Discord : plus de peur que de mal

La liste des hacks s’allonge dangereusement – Les NFT ont rencontré un engouement important à partir de la deuxième moitié de 2021. Depuis, la plateforme Opensea se positionne comme leader indétrônable dans la vente de NFT. Cependant, les hacks et phishing à répétitions ne cessent de ternir son image. 

Une attaque phishing sur le Discord d’Opensea

Forte de ses 2 à 4 milliards de dollars de volume mensuel, Opensea est devenue la plateforme numéro 1 dans l’achat et la vente de NFT sur Ethereum (ETH).

Évidemment, ce monopole attire son lot d’utilisateurs malveillants, bien décidés à profiter de cette célébrité pour extorquer des utilisateurs. 

Ainsi, le 6 mai, le bot Discord officiel d’Opensea a publié une annonce pour le moins surprenante :

« Nous avons établi un partenariat avec YouTube afin d’intégrer leur communauté dans l’espace NFT et nous publions avec eux un mint pass qui permettra aux détenteurs de mint gratuitement le projet. »

Ne mordez pas à l'hameçon du phishing ! Une offre trop belle pour être vraie, la pression pour agir.. ça sent l'arnaque !
Le message de phishing publié sur le Discord d’Opensea – Source : Twitter

Évidemment, le message est accompagné d’un lien renvoyant vers le site du « partenariat ». Sans surprise, cette annonce trop belle pour être vraie est en réalité l’œuvre d’un hacker

Rapidement, le compte Twitter d’Opensea a publié une annonce avertissant que le Discord officiel du projet avait été hacké.

Tweet d'alerte publié par Opensea.
Annonce alertant sur le hack du compte Discord d’Opensea – Source : Twitter

Il semblerait que les équipes d’Opensea aient eu un mal fou à récupérer le contrôle de leur serveur Discord. En effet, l’attaquant a eu le loisir de publier plusieurs fois son message, tentant même d’alimenter le FOMO (fear of missing out) en déclarant que 70 % des NFT avaient été réclamés. 

>> Les hacks à répétition vous inquiètent ? Privilégiez la sérénité de KuCoin (lien affilié). <<

Une méthode de phishing assez classique

En pratique, cette attaque n’a rien de bien novateur. En effet, le lien de l’attaquant renvoyait vers un site internet se faisant passer pour YouTube. 

Sur celui-ci, l’utilisateur est invité à connecter son wallet et à signer une transaction. Vous connaissez la chanson ! Cette transaction est en réalité une transaction de type setApprovalForAll permettant à l’attaquant de prendre le contrôle des NFT détenus sur le wallet. 

D’après l’analyse on-chain, 13 NFT ont été dérobés lors de cette attaque. Heureusement, la valeur estimée de ces jetons ne s’élève qu’à 20 000 dollars. Un bien maigre butin, qui démontre la vigilance accrue des détenteurs de NFT en ces temps de hacks à répétitions. 

Cependant, cette énième brèche chez Opensea ne manquera sans doute pas de ternir sa réputation. En effet, c’est la troisième fois cette année qu’Opensea fait la une des médias spécialisés à cause de hacks ou d’attaque phishing. Au mois de janvier, 332 ETH en NFT avaient été dérobés suite à une faille dans l’interface d’Opensea. Rebelote en février, où plusieurs NFT d’une valeur totale de 500 ETH avaient été dérobés lors d’une attaque phishing.

Évidemment, Opensea n’est pas le seul projet touché par ces attaques phishing. En effet, le projet Bored Ape Yacht Club a subi le même type d’attaque, après que son compte Instagram ait été piraté. Résultat : 2,8 millions de dollars de NFT dérobés !

Apprenez à distinguer les miroirs aux alouettes. Prudence et méfiance sont de mise face à de trop belles promesses ! Ne mordez pas à l’hameçon et inscrivez-vous plutôt sur la plateforme de référence KuCoin (lien affilié).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.