Ce n’est un secret pour personne que l’espace des crypto-monnaies peut être risqué, notamment en ce qui concerne la sécurité des jetons non fongibles (NFT). Récemment, un utilisateur de Blur Marketplace a été victime d'une escroquerie par phishing et a perdu environ 239 676 $, a révélé une source sur X (anciennement Twitter). 

Les détails sont ci-dessous, comme le rapporte la source.

Un utilisateur vient de perdre 6 BAYC, 40 Beanz et 3 élémentaires en les listant en masse pour 1 wei chacun au profit d'un escroc sur Blur. Voir mon fil de discussion précédent sur la mécanique : https://t.co/ihWKpshaIT pic.twitter.com/ 3sLzMES59A

– Quitter (@0xQuit) 3 juillet 2024

L'arnaque par hameçonnage

Selon les rapports, le braquage visait six NFT du Bored Ape Yacht Club, 40 Beanz et trois Elementals, qui ont été extraits du portefeuille numérique de l'utilisateur et répertoriés pour un $ WEI chacun sur le marché. WEI, la plus petite dénomination de l'éther, la monnaie de la blockchain Ethereum, a rendu le prix d'inscription pratiquement nul.

L’arnaque était une manœuvre sophistiquée qui exploitait une faille dans le système de référencement de Blur. 

L'escroc a modifié les paramètres de droits d'auteur des NFT de grande valeur sur Blur, détournant tous les bénéfices vers son adresse. En tirant parti d’une règle qui annulait les transactions existantes, l’activité illicite est restée masquée.

La violation impliquait la liste des NFT à l’insu du propriétaire, contournant ainsi les garanties de la plateforme.

Essentiellement, l’escroc a modifié les paramètres de redevances des NFT, contournant ainsi la politique de la plateforme contre les listes privées. Cela leur a permis de mettre en place une vente privée, garantissant que seule leur adresse pourrait finaliser la transaction. 

Pink Drainer a appris à se frayer un chemin pour permettre les ventes privées sur Blur. Normalement, Blur ne propose pas d'annonces privées. Toute annonce que vous créez peut être remplie par n'importe qui. Mais dernièrement, Pink a acheté des articles pour 0 eth sur Blur. Comment ?1/

– Quitter (@0xQuit) 1er juin 2023

0xQuit, développeur et auditeur de Solidity, a partagé ce rapport, mettant en lumière les tactiques probables utilisées par l'escroc. Il semble que l'arnaque ait été conçue comme une tactique d'appât et de changement, attirant l'utilisateur avec la promesse d'un événement NFT mint ou airdrop gratuit annoncé sur les plateformes sociales. Une fois l’utilisateur engagé, il a été trompé et a signé une transaction sur un site Web frauduleux.

Vous vous souviendrez que Coinfomania avait signalé une escroquerie de phishing similaire plus tôt en mai, où un escroc (PinkDrainer) avait « vidé » l'utilisateur (tatis.eth) de trois NFT BoredApeYachtClub d'une valeur d'environ 145 000 $.

#PeckShieldAlert ZachXBT a détecté que tatis.eth a été victime d'une attaque de phishing, entraînant la perte de 3 NFT #BoredApeYachtClub, en particulier#BAYC#7531,#BAYC#6736 et#BAYC#2100. L'escroc#PinkDrainera déjà vendu les#BAYCvolés pour un total de ~48,5… pic.twitter.com/vU0EPndvRM

– PeckShieldAlert (@PeckShieldAlert) 9 mai 2024

Garder vos fonds en sécurité et protéger vos portefeuilles chauds

À la suite de cet incident, les utilisateurs sont invités à être vigilants lorsqu'ils échangent ou stockent des actifs numériques. Des précautions de base telles que la double vérification des URL, la méfiance envers les communications non sollicitées et la sécurité des clés privées peuvent grandement contribuer à prévenir de tels incidents malheureux.

Comme le dit le proverbe : « Mieux vaut prévenir que guérir ». Dans le monde imprévisible du trading de crypto-monnaies, ces mots sont particulièrement pertinents.

Voici quelques conseils cruciaux à retenir :

  1. Vérifiez les URL des sites Web : examinez chaque lien avant de cliquer. Les acteurs malveillants créent souvent des sites Web dont les URL ressemblent beaucoup à des plateformes légitimes. Une seule faute de frappe pourrait vous conduire vers un site de phishing périlleux.

  1. Méfiez-vous des messages non sollicités : ne cliquez jamais sur des liens et ne téléchargez jamais de pièces jointes provenant d'expéditeurs inconnus. Les escroqueries par phishing peuvent également se produire via les réseaux sociaux et par courrier électronique.

  2. Donnez la priorité à la sécurité du portefeuille : utilisez des mots de passe forts et activez l'authentification à deux facteurs (2FA) autant que possible. Évitez de partager vos clés privées avec qui que ce soit.

L'arnaque de phishing sur Blur Marketplace coûte à l'utilisateur près de 240 000 $ en NFT apparaît en premier sur Coinfomania.