samedi, novembre 23, 2024

Le scandale de phishing d’Opensea révèle un besoin de sécurité dans le paysage NFT

Malgré la volatilité continue qui sévit dans le secteur des actifs numériques, un créneau qui a sans aucun doute continué à prospérer est le marché des jetons non fongibles (NFT). Cela est rendu évident par le fait qu’un nombre croissant d’acteurs grand public, notamment Coca-Cola, Adidas, la Bourse de New York (NYSE) et McDonalds, entre autres, ont fait leur chemin dans l’écosystème en plein essor du métaverse. Ces derniers mois.

De plus, du fait qu’au cours de la seule année 2021, les ventes mondiales de NFT surmonté à 40 milliards de dollars, de nombreux analystes s’attendent à ce que cette tendance se poursuive à l’avenir. Par exemple, la banque d’investissement américaine Jefferies a récemment soulevé ses prévisions de capitalisation boursière pour le secteur NFT à plus de 35 milliards de dollars pour 2022 et à plus de 80 milliards de dollars pour 2025 – une projection qui a également été reprise par JP Morgan.

Cependant, comme pour tout marché qui croît à un rythme aussi exponentiel, il faut également s’attendre à des problèmes liés à la sécurité. À cet égard, l’important marché de jetons non fongibles (NFT) OpenSea a récemment été victime d’une attaque de phishing qui a eu lieu quelques heures seulement après que la plate-forme a annoncé sa mise à niveau prévue d’une semaine pour supprimer tous les NFT inactifs.

Plonger dans le sujet

Le 18 février, OpenSea a révélé qu’il allait lancer une mise à niveau du contrat intelligent, obligeant tous ses utilisateurs à transférer leurs NFT répertoriés de la blockchain Ethereum vers un nouveau contrat intelligent. En raison de la mise à niveau, les utilisateurs qui n’ont pas facilité la migration susmentionnée risquaient de perdre leurs anciennes listes inactives.

Cela dit, en raison du court délai de migration fourni par OpenSea, les pirates se sont vu offrir une puissante fenêtre d’opportunité. Quelques heures après l’annonce, il a été révélé que des tiers infâmes avaient lancé une campagne de phishing sophistiquée, volant les NFT de nombreux utilisateurs qui étaient stockés sur la plate-forme avant qu’ils ne puissent être migrés vers le nouveau contrat intelligent.

Fournissant une ventilation technique de l’affaire, Neeraj Murarka, directeur technique et cofondateur de Bluezelle, une blockchain pour l’écosystème GameFi, a déclaré à Cointelegraph qu’au moment de l’incident, OpenSea utilisait un protocole appelé Wyvern, un module technologique standard qui la plupart des applications Web NFT utilisent car elles permettent la gestion, le stockage et le transfert de ces jetons dans les portefeuilles des utilisateurs.

Parce que le contrat intelligent avec Wyvern permettait aux utilisateurs de travailler avec les NFT stockés dans leurs « portefeuilles », le pirate a pu envoyer des e-mails aux clients d’Opensea se faisant passer pour un représentant de la plate-forme, les encourageant à signer des transactions « aveugles ». Murarka a ajouté :

« Métaphoriquement, c’était comme signer un chèque en blanc. Normalement, cela est acceptable si le bénéficiaire est le destinataire prévu. Gardez à l’esprit qu’un e-mail peut être envoyé par n’importe qui, mais donner l’impression d’avoir été envoyé par quelqu’un d’autre. Dans ce cas, le bénéficiaire semble être un seul pirate qui a pu utiliser ces transactions signées pour transférer et voler efficacement les NFT de ces utilisateurs. »

De plus, dans une tournure intéressante des événements, à la suite de l’incident, le pirate informatique a apparemment revenu certains des NFT volés à leurs propriétaires légitimes, des efforts supplémentaires étant déployés pour restituer d’autres actifs perdus. Donnant son avis sur l’ensemble de l’affaire, Alexander Klus, fondateur de Creaton, une plate-forme de création de contenu Web3, a déclaré à Cointelegraph que la campagne d’e-mails de phishing utilisait une transaction de signature malveillante pour approuver tous les avoirs afin qu’ils puissent être drainés à tout moment. « Nous avons besoin de meilleures normes de signature (EIP-712) afin que les gens puissent réellement voir ce qu’ils font lorsqu’ils approuvent une transaction. »

Enfin, Lior Yaffe, cofondateur et directeur de Jelurida, une société de logiciels de blockchain, a souligné que l’épisode était le résultat direct de la confusion entourant la mise à niveau mal planifiée du contrat intelligent d’OpenSea, ainsi que l’architecture d’approbation des transactions de la plateforme.

Les places de marché NFT doivent intensifier leur jeu de sécurité

De l’avis de Murarka, les applications Web utilisant le système de contrat intelligent Wyvern devraient être complétées par des améliorations de la convivialité pour garantir que les utilisateurs ne tombent pas à maintes reprises dans de telles attaques de phishing, ajoutant :

« Des avertissements très clairs doivent être faits pour éduquer l’utilisateur sur les attaques de phishing et lui faire comprendre que les e-mails ne seront jamais envoyés, en invitant l’utilisateur à prendre des mesures. Les applications Web comme OpenSea devraient adopter un protocole strict pour ne jamais communiquer avec les utilisateurs par e-mail, à l’exception peut-être des données d’enregistrement.

Cela dit, il a concédé que même si OpenSea devait adopter les protocoles et normes de sécurité/confidentialité les plus sûrs, il appartient toujours à ses utilisateurs de se renseigner sur ces risques. « Malheureusement, l’application Web elle-même est souvent tenue pour responsable, même si c’est l’utilisateur qui a été hameçonné. Qui est responsable? La réponse n’est pas claire », a-t-il noté.

Un sentiment similaire est partagé par Jessie Chan, chef de cabinet de ParallelChain Lab, un écosystème de blockchain décentralisé, qui a déclaré à Cointelegraph que, quelle que soit la façon dont l’ensemble de l’attaque a été orchestrée, le problème ne dépend pas entièrement des protocoles de sécurité existants d’OpenSea, mais également de la sensibilisation des utilisateurs contre Hameçonnage. La question demeure de savoir si l’opérateur de place de marché aurait dû être en mesure de fournir suffisamment d’informations à ses utilisateurs pour les tenir informés de la manière de faire face à de tels scénarios.

Une autre possibilité d’atténuer tout événement de phishing potentiel consiste à faire en sorte que toutes les interactions entre les utilisateurs et leurs applications Web soient pilotées uniquement via l’utilisation d’une interface mobile/de bureau dédiée. « Si toutes les interactions nécessitaient l’utilisation d’une application de bureau, de telles attaques pourraient être complètement contournées. »

Donnant son avis sur le sujet, Yaffe a noté que le principal problème – qui est au cœur de tout ce problème – est l’architecture de base de la plupart des marchés NFT, permettant aux utilisateurs de simplement signer une approbation de carte blanche pour un contrat tiers à utiliser. leur porte-monnaie privé sans se fixer de limite de dépenses :

« Étant donné que l’équipe d’OpenSea n’a pas vraiment identifié la source de l’opération de phishing, cela pourrait aussi bien se reproduire la prochaine fois qu’elle tentera de modifier son architecture. »

Ce qui peut être fait?

Murarka a noté que la meilleure façon d’éliminer la possibilité de ces attaques est que les gens commencent à utiliser des portefeuilles matériels. En effet, la plupart des portefeuilles logiciels ainsi que d’autres solutions de stockage de conservation sont trop vulnérables dans leur conception générale et leurs perspectives opérationnelles. Il a en outre précisé: « Tout comme Bitcoin, Ethereum, etc., les NFT eux-mêmes devraient être déplacés vers des comptes de portefeuille matériels au lieu de les laisser sur une plate-forme centralisée », ajoutant:

« Les utilisateurs doivent être très conscients des risques de répondre et d’agir sur les e-mails qu’ils reçoivent. Les e-mails peuvent être falsifiés très facilement et les utilisateurs doivent être proactifs quant à la sécurité de leurs actifs cryptographiques.

Une autre chose dont les propriétaires de NFT doivent se souvenir est qu’ils ne doivent visiter que des applications Web qui utilisent des protocoles de sécurité de haute qualité, en vérifiant que les places de marché consultées utilisent le mécanisme HTTPS (à tout le moins) tout en étant en mesure de voir clairement un symbole de verrouillage sur le en haut à gauche de la fenêtre de leur navigateur — qui pointe correctement vers l’entreprise visée — lorsqu’ils visitent n’importe quelle page Web.

Yaffe pense que les utilisateurs doivent être prudents avec les approbations de contrats et garder une trace précise des contrats qu’ils ont approuvés dans le passé. « Les utilisateurs doivent révoquer les approbations inutiles ou dangereuses. Si possible, les utilisateurs doivent spécifier une limite de dépenses raisonnable pour chaque approbation de contrat », conclut-il.

Connexes: Cointelegraph s’associe à Nitro Network pour apporter l’exploitation minière numérique et l’Internet décentralisé aux masses

Enfin, Chan estime que dans un scénario idéal, les utilisateurs devraient conserver leurs portefeuilles sur une plate-forme dédiée qu’ils n’utilisent pas pour lire les e-mails ou naviguer sur le Web, ajoutant que ces voies sont sujettes à toutes sortes d’attaques de tiers. Il a en outre déclaré :

« C’est gênant, mais lorsqu’il s’agit de biens de grande valeur et où il n’y a aucun recours en cas de vol, une extrême prudence est justifiée. Et, comme pour toutes les transactions financières, ils doivent être très prudents lorsqu’ils décident avec qui traiter, car les contreparties peuvent également voler vos actifs et disparaître.

Par conséquent, tout en évoluant vers un avenir tiré par les NFT et d’autres offres numériques innovantes similaires, il reste à voir comment les plates-formes opérant dans cet espace continuent d’évoluer et de mûrir, d’autant plus qu’une quantité croissante de capitaux continue de pénétrer le marché des NFT.