Les hackers ne prennent pas de vacances – L’année 2021 s’est clôturée sur un lourd bilan pour l’écosystème des cryptomonnaies en matière de vols et d’arnaques. Effectivement, environ 7 milliards de dollars ont été dérobés tout au long de l’année. Malheureusement, 2022 semble suivre le même scénario déprimant.
Le trésor perdu de Treasure
Treasure est une plateforme d’achat et de vente de NFT hébergée sur la solution de seconde couche Arbitrum.
Le mercredi 2 mars, de nombreux internautes ont tiré la sonnette d’alarme face à un bug rencontré sur la plateforme. Ces derniers avaient incité le reste de la communauté à délister leurs NFT actuellement en vente.
Par la suite, John Patten, co-fondateur de Treasure DAO a confirmé la présence d’une faille. Celui-ci en a profité pour réitérer l’incitation à retirer les NFT en vente.
« La plateforme Treasure est exploitée. Veuillez retirer vos NFT en vente. Nous couvrirons les coûts de l’attaque – je donnerai personnellement tous mes Smols pour réparer cela. »
Suite à cette annonce, la plateforme Treasure a été mise hors ligne pour laisser le temps aux équipes de trouver et corriger la faille.
Bien qu’aucun détail technique concernant la faille n’ait encore été révélé, l’analyse de l’adresse de l’attaquant a permis d’identifier quelques pistes. En effet, celui-ci a acquis plusieurs Smols Brains, à savoir la collection de NFT la plus en vogue sur Arbitrum, et ce, sans débourser un centime, comme le montrent les transactions.
Le déroulement et le bilan des pertes : une centaine de NFT dérobés
Au lendemain des faits, l’entreprise Peckshield, spécialisée dans l’analyse et l’audit de projets cryptos, a publié un thread revenant sur l’incident.
Selon l’annonce, plus d’une centaine de NFT ont été dérobés. Il semblerait même que plusieurs attaquants différents aient profité de cette faille. Ces derniers ont profité d’un bug présent dans le code de la plateforme, plus particulièrement sur la fonction buyItem(), utilisée lors de l’achat d’un NFT.
En pratique, l’attaquant a appelé cette fonction, en lui renseignant un NFT à acheter, mais en renseignant une quantité nulle.
« Le piratage est rendu possible grâce à un bug dans la distinction entre ERC721 et ERC1155 dans buyItem(), qui calcule de manière erronée le prix de ERC721 comme étant un ERC1155 avec la quantité (non fiable) donnée 0. »
Peckshield
L’adresse analysée par Peckshiled a réussi à dérober, à elle seule, 17 NFT de la collection Smols Brain. Au total, la valeur estimée de ces œuvres monte à 426 511 MAGIC, le jeton propre à la plateforme, soit environ 1,4 million de dollars au cours actuel.
Une Communication et un remboursement pauvres
Il semble cependant important de souligner le manque de communication de la part de Treasure. En effet, l’ensemble des déclarations ont été faites via le compte Twitter de John Patten. Malheureusement, ce compte n’est pas accessible publiquement. En parallèle, aucune publication ne fait état de la faille sur le compte officiel de Treasure.
Espérons que la plateforme attend la mise au point d’un post mortem complet pour communiquer à ce sujet. Cela sera également l’occasion de discuter des compensations accordées aux utilisateurs lésés. Compensation promise par John Patten, dès son premier tweet.
À la fin du mois de février, la plateforme OpenSea s’est, elle aussi, retrouvée au cœur de la tourmente après une affaire d’attaque phishing. En effet, un attaquant a réussi à dérober une vingtaine de NFT des plus grandes collections d’Ethereum, totalisant un butin de plus de 500 ethers.
Vous êtes en droit de ne rien comprendre à la tendance NFT. En revanche, ne pas vous intéresser à Bitcoin est impardonnable ! N’attendez plus pour préparer l’avenir en allant vous inscrire sur la plateforme Binance, LA référence absolue du secteur. Vous économiserez 10 % sur vos frais de trading en suivant ce lien (lien commercial).
