L’attaque de phishing d’OpenSea suscite la confusion et le chaos
Jusqu’à présent, des NFT ont été volés à des dizaines d’utilisateurs, le plus grand marché mondial ayant lancé une enquête « tout le monde est sur le pont ».
C’est la confusion et le chaos après qu’OpenSea a été touché par une attaque de phishing présumée, avec des jetons non fongibles volés à des dizaines d’utilisateurs.
Le plus grand marché NFT au monde est en train de mettre à niveau son contrat intelligent – une mesure conçue pour garantir que les anciennes annonces inactives expirent et empêcher que des objets de collection ne soient vendus par inadvertance à des prix inférieurs au taux du marché.
OpenSea avait clairement signalé la mise à niveau du contrat dans un article de blog au début du mois, mais cela a peut-être incité des fraudeurs opportunistes à tromper les victimes en envoyant de faux e-mails prétendant provenir de la plateforme.
La société de renseignement blockchain Peckshield a partagé une capture d’écran d’un e-mail suspect qui explique avec précision le changement en cours, accompagné d’un bouton « Commencer ».
Mais cliquer sur ce lien et autoriser la migration donne finalement aux pirates la possibilité de voler de précieux NFT.
Tard samedi soir, le marché a tweeté :
« Nous enquêtons activement sur les rumeurs d’un exploit associé aux contrats intelligents liés à OpenSea. Cela semble être une attaque de phishing provenant de l’extérieur du site Web d’OpenSea. Ne cliquez pas sur les liens en dehors de http://opensea.io. »
Le PDG d’OpenSea, Devin Finzer, a également souligné qu’il s’agissait d’une attaque de phishing plutôt que d’une vulnérabilité liée au site Web de l’entreprise. Il a ajouté que 32 les victimes ont été identifiées jusqu’à présent et il semble que l’attaquant ait restitué certains des NFT. Son fil Twitter a ajouté :
« Je sais que vous êtes tous inquiets. Nous menons une enquête générale… Nous n’avons connaissance d’aucun e-mail de phishing récent qui ait été envoyé aux utilisateurs, mais pour le moment, nous ne savons pas sur quel site Web les utilisateurs ont été trompés. signer des messages de manière malveillante. »
Au moment de la rédaction de cet article dimanche matin, l’adresse liée à l’escroquerie par phishing était détenue 641 ETH — vaut environ 1,7 million de dollars au taux actuel du marché. Le portefeuille contenait également trois jetons Bored Ape Yacht Club.
Crypto Twitter a fait l’objet de nombreuses critiques à l’égard d’OpenSea, notamment parce que ces tentatives de phishing semblaient être une copie conforme d’un véritable e-mail envoyé il y a quelques jours. D’autres ont montré que l’incident avait montré à quel point il est important de toujours vérifier ce que vous signez.
Auparavant, il y avait eu des rapports contradictoires selon lesquels un exploit avait été découvert dans le nouveau contrat OpenSea, permettant aux attaquants de vider leurs portefeuilles. La dernière déclaration de la plateforme suggère le contraire.
Au milieu de la panique et de la confusion, certains utilisateurs de Twitter – comme @AltcoinPsycho – ont tenté de détendre l’ambiance avec une blague :
Je paniquerais à propos de toute la situation d’OpenSea, mais tous mes NFT ne valent pratiquement rien.