Kevin Rose, le co-fondateur de la collection de jetons non fongibles (NFT) Moonbirds, a été victime d’une escroquerie par hameçonnage qui a fait voler plus de 1,1 million de dollars de ses NFT personnels.
Le créateur de NFT et co-fondateur de PROOF a partagé la nouvelle avec ses 1,6 million d’abonnés sur Twitter le 25 janvier en leur demandant d’éviter d’acheter des NFT Squiggles jusqu’à ce qu’ils parviennent à les faire signaler comme volés.
Je viens d’être piraté, restez à l’écoute pour plus de détails – veuillez éviter d’acheter des gribouillis jusqu’à ce que nous les fassions signaler (je viens d’en perdre 25) + quelques autres NFT (un autoglyphe) …
— KΞVIN R◎SE (,) (@kevinrose) 25 janvier 2023
« Merci pour tous les mots aimables et de soutien. Débriefing complet à venir », a-t-il ensuite partagé dans un tweet séparé environ deux heures plus tard.
Il est entendu que les NFT de Rose ont été drainés après avoir signé une signature malveillante qui a transféré une part importante de ses actifs NFT à l’exploiteur.
GM – quelle journée !
Aujourd’hui, j’ai été hameçonné. Demain, nous couvrirons tous les détails en direct, en guise de mise en garde, sur les espaces Twitter. Voici comment cela s’est passé, techniquement: https://t.co/DgBKF8qVBK— KΞVIN R◎SE (,) (@kevinrose) 25 janvier 2023
Un indépendant une analyse d’Arkham a découvert que l’exploiteur avait extrait au moins un autoglyphe (345 ETH), 25 blocs d’art – également connus sous le nom de Chromie Squiggle – (332,5 ETH) et neuf éléments OnChainMonkey (7,2 ETH).
Au total, au moins 684,7 ETH (1,1 million de dollars) ont été extraits.
Comment Kevin Rose a été exploité
Alors que plusieurs analyses indépendantes en chaîne ont été partagées, le vice-président de PROOF – la société derrière Moonbirds – Arran Schlosberg a expliqué à ses 9 500 abonnés Twitter que Rose « a été hameçonnée pour signer une signature malveillante » qui a permis à l’exploiteur de transférer sur un grand nombre de jetons :
1/ Il s’agissait d’un classique de l’ingénierie sociale, trompant KRO dans un faux sentiment de sécurité. L’aspect technique du piratage s’est limité à la création de signatures acceptées par le contrat de marché d’OpenSea.
— Arran (@divergencearran) 25 janvier 2023
L’analyste crypto « foobar » a développé plus en détail « l’aspect technique du piratage » dans un article séparé le 25 janvier, expliquant que Rose avait approuvé un contrat de marché OpenSea pour déplacer tous ses NFT chaque fois que Rose signait des transactions.
Il a ajouté que Rose était toujours « à une signature malveillante » d’un exploit :
soyez très prudent lorsque vous signez quoi que ce soit, même les signatures hors chaîne. kevin rose vient de retirer environ 2 millions de dollars de NFT de son coffre-fort après avoir signé un paquet de ports maritimes malveillants. heureusement, quelques éléments ont été retenus, comme le zombie punk (1000 ETH) qui ne peut pas être échangé sur OS pic.twitter.com/GXHR3NQHLf
– foobar (@0xfoobar) 25 janvier 2023
L’analyste crypto a déclaré que Rose aurait plutôt dû « cloisonner » ses actifs NFT dans un portefeuille séparé :
« Déplacer les actifs de votre coffre-fort vers un portefeuille « vendeur » séparé avant de les lister sur les marchés NFT empêchera cela. »
Un autre analyste de la chaîne, « Quit », a déclaré à ses 71 400 abonnés sur Twitter qu’une signature malveillante avait été activée par le contrat de marché Seaport – la plate-forme qui alimente OpenSea :
Kevin Rose vient de perdre plus de 2 millions de dollars d’actifs en signant une signature hors chaîne qui a créé une liste pour tous ses actifs approuvés par OpenSea en une seule fois.
Bien que le port maritime soit un outil puissant, il peut également être dangereux si vous ne savez pas comment il fonctionne.
Un peu de contexte 1/
– quitter (@0xQuit) 25 janvier 2023
Quit a expliqué que les exploiteurs ont pu mettre en place un site de phishing capable de visualiser les actifs NFT détenus dans le portefeuille de Rose.
L’exploiteur a alors mis en place une commande pour tous les actifs de Rose qui sont approuvés sur OpenSea pour ensuite être transférés à l’exploiteur.
Rose a alors validé la transaction malveillante, noté Quit.
Lié: Le projet Bluechip NFT Moonbirds signe avec les agents de talents hollywoodiens UTA
Pendant ce temps, foobar a noté que la plupart des actifs volés étaient bien au-dessus du prix plancher, ce qui signifie que le montant volé pourrait atteindre 2 millions de dollars.
Quit a insisté sur le fait que les utilisateurs d’OpenSea « doivent fuir » tout autre site Web qui invite les utilisateurs à signer quelque chose qui semble suspect.
Les NFT en mouvement
L’analyste en chaîne « ZachXBT » a partagé une carte des transactions avec ses 350 300 abonnés Twitter, ce qui montre que l’exploiteur a envoyé les actifs à FixedFloat – un échange de crypto-monnaie sur le « Lightning Network » de la couche 2 de Bitcoin.
L’exploiteur a ensuite transféré les fonds dans Bitcoin (BTC) et avant de déposer le BTC dans un mixeur Bitcoin :
Il y a trois heures, Kevin a été victime d’un hameçonnage pour plus de 1,4 million de dollars de NFT. Plus tôt dans la journée, le même escroc a volé 75 ETH à une autre victime.
En cartographiant cela, nous pouvons voir une tendance claire à envoyer les fonds volés à FixedFloat et à les échanger contre BTC avant de les déposer dans un mélangeur bitcoin. https://t.co/2yrFpfYttT pic.twitter.com/ZlywPYydwx
– ZachXBT (@zachxbt) 25 janvier 2023
« Degentraland », membre de Crypto Twitter, a déclaré à ses 67 000 abonnés Twitter que c’était la « chose la plus triste » qu’ils aient vue dans l’espace de crypto-monnaie à ce jour, ajoutant que si quelqu’un peut revenir d’un exploit aussi dévastateur, « c’est lui »:
La chose la plus triste que j’ai vue en crypto à ce jour.@kevinrose portefeuille vidé.
Si quelqu’un peut s’en remettre, c’est bien lui. pic.twitter.com/HZysg34qji
— Degentraland (@Degentraland) 25 janvier 2023
Pendant ce temps, le fondateur de Bankless, Ryan Sean Adams, était furieux de la facilité avec laquelle Rose pouvait être exploitée. Dans le 25 janvier tweeter, Adams a exhorté les ingénieurs frontaux à reprendre leur jeu et à améliorer l’expérience utilisateur (UX) pour empêcher que de telles escroqueries ne se produisent.