Les piratages croissants de Gala Games et le manque d’assistance laissent les utilisateurs désemparés
Lorsque Paul de Klerk, conseiller financier, a créé un compte Gala Games au début du mois dernier, tout ce qu’il avait en tête était de jouer à leur jeu P2E à succès, Town Star. À la fin du mois, il avait même acheté pour environ 122 000 $ de NFTs pour le jeu. Malheureusement, lorsqu’il s’est connecté à son portefeuille Metamask le dimanche 23 janvier, celui-ci a été complètement effacé. Cela l’a incité à vérifier son compte Gala Games. À son grand désarroi, quelqu’un avait piraté son compte Gala Games et transféré tous ses ETH, LooksRare, jetons Gala et Town, ainsi que ses NFTs vers son propre portefeuille.
La valeur des NFT volés, basée sur la valeur du marché à l’époque, s’élevait à 200 940 $, a déclaré Paul à l’AFP. Soirée NFT.
« C’est bien mon compte Gala qui a été piraté, car le pirate a effectué les transferts depuis Gala », explique-t-il. « Il a même monnayé les gains de mon « coffre au trésor » sur la blockchain, ce qui ne peut se faire qu’à partir de Gala « *.
*Les citations ont été condensées et éditées pour plus de clarté.
Manque de soutien de la part de Gala Games
À l’époque, Paul a fait ce que tout le monde aurait fait dans sa situation : il a contacté Gala Games pour obtenir de l’aide. Malheureusement, la société a offert peu ou pas d’aide, selon Paul. Réponse par e-mail de Gala Games à Paul lui a conseillé de créer un nouveau porte-monnaie Gala et lui a expliqué en détail la marche à suivre. Il lui a également suggéré de mettre en place une authentification à deux facteurs (2FA), ce que Paul a tenté de faire bien avant le piratage de son compte. Mais, même après plusieurs tentatives, la configuration 2FA n’a pas accepté le mot de passe de son compte Gala. La société n’a pas non plus proposé d’aide pour résoudre ce problème, affirme-t-il.
« Ce que je trouve le plus décevant, c’est le manque d’empathie ou de réponse de Gala », a déclaré Paul. « Je n’arrive pas à croire qu’ils pensent que j’ouvrirais un autre compte Gala alors qu’ils n’ont montré aucune préoccupation concernant ce piratage. »
Il est alarmant de constater que Paul n’est pas la seule victime du piratage de Gala Games. Il n’est pas non plus le seul à être découragé par le manque de soutien et de reconnaissance de la part de la société. En fait, un groupe de victimes s’est réuni pour créer un groupe de soutien sur Discord pour ceux dont les comptes Gala Games ont été piratés.
« Malgré tous les efforts déployés, le soutien [from Gala Games] a été moins que communicatif », note le serveur Discord dans son canal about. « C’est pourquoi nous avons besoin d’un groupe de soutien, non seulement pour nous aider à nous sentir mieux après nos pertes, mais aussi pour pousser Gala à agir. »
Le groupe compte actuellement plus de 50 membres.
Pas moins de 179 portefeuilles uniques piratés
Dans un premier temps, le groupe a compilé un rapport sur les piratages et la sécurité de Gala, détaillant tous les piratages des jeux de Gala à ce jour. Sur la base de ce rapport (examiné par NFTevening), 179 portefeuilles uniques ont été piratés à la date du 27 janvier. Le nombre de jetons GALA volés ? 5,246,982. (Les pertes ne tiennent pas compte des ETH, TownCoins et NFTs). Au moment de la rédaction de cet article, GALA se négociait à 0,20 $.
Essentiellement, les membres du groupe ont suivi les adresses des portefeuilles pirates en se basant sur les rapports des victimes du piratage postés sur le serveur Discord officiel de Gala. Le premier piratage signalé remonte au 19 septembre 2021. Ils ont ensuite procédé à une vérification croisée des adresses avec les rapports de plusieurs victimes. De cette façon, ils ont identifié pas moins de six portefeuilles pirates.
Certains d’entre eux ont piraté plus de 50 portefeuilles uniques, volant environ 188 591 jetons GALA. Le rapport indique également le nombre de portefeuilles uniques piratés par chaque portefeuille pirate, les hachages de transaction correspondants et le nombre total de GALA volés.
Comptes piratés malgré l’activation de 2FA
L’une des victimes est txawjteeb, qui a perdu 136 930,25 GALA dans le piratage. « J’avais activé le 2FA ainsi que mon VPN, mais j’ai été piraté deux fois », a déclaré le rapport. Une autre victime, aaron96789, a perdu 671 852,9 GALA.
Certains utilisateurs ont également perdu des NFTs valant des milliers de dollars. Un utilisateur, qui a requis l’anonymat, a perdu plusieurs NFTs d’une valeur d’environ 20 000 $ chacun. Il s’agit d’un joueur régulier de Town Star qui a gagné des pièces GALA et des jetons Town en guise de récompenses. En outre, il possédait plusieurs NFTs de Mirandus, un autre jeu blockchain de Gala Games. Il y a quelques jours, un hacker a volé leurs NFTs ainsi que des récompenses.
« J’avais un code de transfert pour des pièces de transfert et j’avais activé le 2FA, mais il s’est avéré que mon 2FA a été désactivé à mon insu », ont-ils raconté. NFTevening. « Donc le hacker peut déplacer mes récompenses du coffre au trésor vers la chaîne ETH et ensuite les transférer. »
Nous sommes réduits au silence, bannis et étiquetés comme FUD.
Naturellement, les victimes ont créé des tickets d’assistance sur Gala Games. La réponse de Gala Games a été assez similaire à celle de Paul : aider à obtenir un nouveau portefeuille et à le relier au compte. Plusieurs utilisateurs ont également affirmé qu’ils n’ont toujours pas reçu de réponse de la part de la société.
Lorsque moi ou d’autres personnes essayons de donner suite à nos tickets sur Discord, nous sommes réduits au silence, bannis et qualifiés de FUD alors que nous essayons de demander de l’aide », a déclaré un utilisateur de Gala Games, qui se fait appeler « Da Boss ». NFTevening. Da Boss venaient de créer leur compte Gala Games début décembre lorsque leur compte a été piraté. Ils se considèrent « extrêmement chanceux » qu’il n’y ait eu que 85 GALA sur leur compte à ce moment-là.
« Ils sont conscients que leurs joueurs sont piratés et minimisent les événements en disant que c’est la faute des utilisateurs », ajoute Da Boss. « Après avoir poussé le problème, j’ai été informé qu’il n’y a eu aucune violation de leur part… »
Quelle a été la réaction de Gala Games ?
Gala Games n’a pas encore reconnu publiquement l’existence de piratages sur son site Web. Alors que de nombreux utilisateurs ont signalé que leurs comptes avaient été piratés sur le serveur Discord officiel de Gala Games, le personnel a d’abord affirmé que le site Web n’avait pas été piraté. Leurs réponses par e-mail ont également raconté la même histoire : les violations se sont probablement produites parce que les utilisateurs ont cliqué sur des liens malveillants, n’ont pas configuré le système 2FA ou ont installé de fausses applications.
Voici l’une des réponses reçues par un utilisateur de la société :
« La façon la plus courante dont les gens compromettent leur portefeuille est lorsqu’ils importent la phrase d’amorçage/clé privée sur un fournisseur web3, et interagissent avec un site malveillant, ou une fausse application. Récemment, nous avons eu quelques utilisateurs qui ont téléchargé une fausse application Town Star par exemple. En fin de compte, vous êtes le seul à savoir ce que vous avez fait, nous ne pouvons qu’offrir des outils pour de bonnes pratiques de sécurité. »
Mais, prétendument, aucune des victimes n’a cliqué sur des liens suspects envoyés par DM ou n’a été la proie d’attaques de phishing. En outre, plusieurs utilisateurs ont été piratés malgré l’activation de la fonction 2FA.
Il est intéressant de noter que le mois dernier, La menthe avatar VOX Mirandus de Gala Games. a fait l’objet d’allégations de piratage. En gros, quelqu’un était capable de racheter sans effort les avatars Vox et avait « trop de succès » avec des « tirages de menthe aléatoires ». Bien que Gala Games ait publié une déclaration officielle, ils ont nié tout piratage et ont affirmé que les était dû à « une faiblesse fondamentale ». avec Ethereum. Cependant, selon le Gala Hacks Report, au moins deux personnes ont signalé que leurs comptes avaient été piratés pendant ou peu après la frappe de Vox.
Le 19 janvier, VeraAwesome, un modérateur du Discord officiel de Gala, a déclaré qu' » un joueur possédant plus d’un million de dollars de NFT avait été piraté » (capture d’écran ci-dessous). Néanmoins, l’entreprise n’a toujours pas fait de déclaration officielle.
Problèmes de sécurité avec le site web ?
Le rapport sur les piratages de Gala a également identifié plusieurs problèmes de sécurité sur le compte de Gala Games qui pourraient être à l’origine des piratages. D’une part, l’activation de la fonction 2FA n’est pas obligatoire. Deuxièmement, il y a pas de confirmation de connexion par IP. En d’autres termes, le site Web n’alerte pas l’utilisateur et ne bloque pas temporairement le compte lorsqu’une nouvelle adresse IP tente d’accéder au compte, selon le rapport. De même, aucune mesure de sécurité n’est prévue pour alerter les utilisateurs en cas de modification non autorisée des données du compte, comme l’adresse électronique, le numéro de téléphone ou le système 2FA. En outre, Gala Games permet aux utilisateurs de télécharger des clés privées depuis le site Web de Gala.
« Cela rend effectivement les clés privées moins sûres puisque les identifiants de connexion d’un utilisateur sont tout ce qu’il faut pour obtenir un accès complet et permanent au portefeuille d’un utilisateur », ajoute le rapport. « En outre, si ces clés privées sont stockées sur la base de données de Gala, cela ouvre la possibilité d’autres vulnérabilités de sécurité. »
Les victimes en détresse ont plusieurs questions à poser à Gala Games. Tout d’abord, l’entreprise a-t-elle l’intention de collecter les données des victimes et d’enquêter sur la façon dont les piratages ont lieu ? Deuxièmement, étant donné qu’au moins un rapport indique que les pirates peuvent encore jouer à des jeux sur la plateforme, la société peut-elle faire pression sur eux pour qu’ils rendent les fonds ou geler leurs comptes ?
« Je ne comprends pas pourquoi Gala ne pourrait pas, en guise de bonne volonté, nous offrir de nouveaux NFT qui nous ont été volés ? ». a demandé Paul. « Cela ne leur coûterait rien de le faire et il y a d’autres projets qui l’ont fait. »
NFTeveing a contacté Gala Games pour obtenir des commentaires. Au moment de la mise sous presse, nous n’avons reçu aucune réponse. Nous mettrons à jour cette histoire avec leur réponse, le cas échéant.