Des pirates informatiques exploitent la fonctionnalité OpenSea pour voler des singes et des NFT coûteux

Harpie alerte les utilisateurs de NFT des nouvelles astuces utilisées par les pirates informatiques concernant les achats sans gaz sur OpenSea. La plateforme affirme que des pirates informatiques ont ensuite volé des millions de singes au cours des derniers mois.

Les pirates ont pu voler des NFT comme par magie grâce à une fonctionnalité OpenSea peu connue. C'est le hack le plus récent, et plusieurs millions de singes ont déjà été perdus. (🧵1/4) pic.twitter.com/fTK20WQrgh

— Harpie (@harpieio) December 22, 2022

En règle générale, les utilisateurs doivent approuver une demande de signature avec un message inintelligible pour effectuer des ventes sans gaz sur le populaire marché NFT, OpenSea, et également créer des enchères privées. Les signatures sont fréquemment présentées comme des étapes nécessaires pour se connecter et utiliser le site Web.

Profitant de cette faille technique, des sites de phishing ont commencé à demander aux victimes de signer, sans le savoir, l'un de ces caractères incompréhensibles.

Les messages de connexion envoyés par les pirates aux victimes sont des demandes de signature demandant à l'utilisateur d'approuver les ventes privées et le transfert immédiat et gratuit des actifs vers le compte du pirate.

Cette campagne d'astuce et de phishing, note Harpie, a conduit au transfert d'une valeur de plusieurs millions de singes depuis le populaire marché NFT.

Les utilisateurs du Web3 doivent faire attention au phishing sur glace

Après une récente attaque de phishing contre Metamask, la société de sécurité blockchain CertiK a récemment mis en garde la communauté des cryptomonnaies contre une pratique qu'elle appelle « ice phishing ».

En utilisant cette vulnérabilité, les escrocs obligent les utilisateurs de Web3 à signer des autorisations qui donnent aux attaquants le droit d'utiliser leurs jetons. La fraude, selon CertiK, est exclusive à l'industrie Web3 et présente un grave danger.

Le 17 décembre, un analyste a souligné comment un escroc aurait volé 14 NFT Bored Ape en utilisant la fonction de signature sans gaz Seaport.

Le pirate informatique a mené une vaste ingénierie sociale avant de conduire la victime vers une fausse plateforme NFT et de lui demander le compte utilisé pour conclure un contrat. Le portefeuille de la victime a ensuite été volé.