Opensea victime d’un hack de son Discord : plus de peur que de mal
La liste des hacks s’allonge dangereusement – Les NFT ont rencontré un engouement important à partir de la deuxième moitié de 2021. Depuis, la plateforme Opensea se positionne comme leader indétrônable dans la vente de NFT. Cependant, les hacks et phishing à répétitions ne cessent de ternir son image.
Une attaque phishing sur le Discord d’Opensea
Forte de ses 2 à 4 milliards de dollars de volume mensuel, Opensea est devenue la plateforme numéro 1 dans l’achat et la vente de NFT sur Ethereum (ETH).
Évidemment, ce monopole attire son lot d’utilisateurs malveillants, bien décidés à profiter de cette célébrité pour extorquer des utilisateurs.
Ainsi, le 6 mai, le bot Discord officiel d’Opensea a publié une annonce pour le moins surprenante :
« Nous avons établi un partenariat avec YouTube afin d’intégrer leur communauté dans l’espace NFT et nous publions avec eux un mint pass qui permettra aux détenteurs de mint gratuitement le projet. »
Évidemment, le message est accompagné d’un lien renvoyant vers le site du « partenariat ». Sans surprise, cette annonce trop belle pour être vraie est en réalité l’œuvre d’un hacker.
Rapidement, le compte Twitter d’Opensea a publié une annonce avertissant que le Discord officiel du projet avait été hacké.
Il semblerait que les équipes d’Opensea aient eu un mal fou à récupérer le contrôle de leur serveur Discord. En effet, l’attaquant a eu le loisir de publier plusieurs fois son message, tentant même d’alimenter le FOMO (fear of missing out) en déclarant que 70 % des NFT avaient été réclamés.
Une méthode de phishing assez classique
En pratique, cette attaque n’a rien de bien novateur. En effet, le lien de l’attaquant renvoyait vers un site internet se faisant passer pour YouTube.
Sur celui-ci, l’utilisateur est invité à connecter son wallet et à signer une transaction. Vous connaissez la chanson ! Cette transaction est en réalité une transaction de type setApprovalForAll permettant à l’attaquant de prendre le contrôle des NFT détenus sur le wallet.
D’après l’analyse on-chain, 13 NFT ont été dérobés lors de cette attaque. Heureusement, la valeur estimée de ces jetons ne s’élève qu’à 20 000 dollars. Un bien maigre butin, qui démontre la vigilance accrue des détenteurs de NFT en ces temps de hacks à répétitions.
Cependant, cette énième brèche chez Opensea ne manquera sans doute pas de ternir sa réputation. En effet, c’est la troisième fois cette année qu’Opensea fait la une des médias spécialisés à cause de hacks ou d’attaque phishing. Au mois de janvier, 332 ETH en NFT avaient été dérobés suite à une faille dans l’interface d’Opensea. Rebelote en février, où plusieurs NFT d’une valeur totale de 500 ETH avaient été dérobés lors d’une attaque phishing.
Évidemment, Opensea n’est pas le seul projet touché par ces attaques phishing. En effet, le projet Bored Ape Yacht Club a subi le même type d’attaque, après que son compte Instagram ait été piraté. Résultat : 2,8 millions de dollars de NFT dérobés !