Les utilisateurs du principal marché de jetons non fongibles (NFT) OpenSea ont déclaré qu’ils étaient la cible d’une nouvelle attaque de phishing par courrier électronique et qu’ils avaient reçu des e-mails contenant des liens malveillants provenant d’attaquants se faisant passer pour le marché.
Selon Selon les rapports des médias sociaux, les utilisateurs et les développeurs d’OpenSea ont été ciblés par diverses campagnes de phishing par courrier électronique, notamment une fausse alerte de risque de compte de développeur et une fausse offre NFT.
Un développeur d’OpenSea s’est adressé à X (anciennement Twitter) le 13 novembre pour signaler avoir reçu une tentative de phishing dans un e-mail strictement dédié à sa clé d’interface de programmation d’application (API) OpenSea. « En d’autres termes, les contacts des développeurs ont été exfiltrés d’OpenSea et constituent la véritable cible de cette campagne », peut-on lire dans le message.
Le rapport sur les réseaux sociaux répond à l’insistance d’OpenSea sur le fait que la plateforme n’a pas été piratée et exhorte les utilisateurs à ne pas cliquer sur des liens auxquels ils ne font pas confiance.
Correct : il n’y a pas de vulnérabilité de contrat intelligent. Mais malheureusement pour @opensea Je viens de recevoir une tentative de phishing, vers un email strictement dédié à ma clé API OpenSea. En d’autres termes, les contacts des développeurs ont été exfiltrés d’OpenSea et sont la véritable cible de cette campagne. https://t.co/GD4UgwWIrx pic.twitter.com/rtyUJBMlwl
— Quantité (@quantité) 13 novembre 2023
Un autre utilisateur d’OpenSea s’est rendu sur Reddit pour exprimer confusion au sujet de la campagne de phishing en cours le 14 novembre.
« Je n’ai pas utilisé OpenSea depuis des années et tout d’un coup, je continue de recevoir des e-mails parlant de mes listes NFT qui reçoivent des offres », écrit l’affiche, ajoutant que tous les liens vulnérables essayaient d’inciter le lecteur à installer une application malveillante.
« En ce moment, je reçois 3 à 4 e-mails d’arnaque/phishing par jour, ce qui est fou puisque je n’en ai reçu aucun il y a quelques semaines à peine », a écrit le Redditor, ajoutant :
« Ma question est donc la suivante : quelque chose de nouveau est-il arrivé à OpenSea ? L’adresse e-mail qu’ils utilisent est celle que j’ai créée spécifiquement pour OpenSea, donc je ne suis pas concernée, mais je sais qu’OpenSea a déjà été piratée. Est-ce qu’ils viennent juste de recevoir mon e-mail ou y en a-t-il un nouveau ?
La nouvelle intervient quelques semaines après que l’un des fournisseurs tiers d’OpenSea a rencontré un incident de sécurité exposant des informations relatives aux clés API des utilisateurs. OpenSea a signalé la violation dans un e-mail de notification adressé aux utilisateurs concernés fin septembre 2023, indiquant que les e-mails des utilisateurs et les clés API des développeurs pourraient avoir été divulgués en raison de l’attaque.
Choisissez bien votre tiers…
Opensea a posté qu’un fournisseur a été attaqué, entraînant la fuite des clés API des développeurs !
Obtenez des conseils d’un consultant en sécurité professionnel sur la sécurité du tiers avant de choisir. Par exemple @SlowMist_Team pic.twitter.com/jcBJ9IaAEN– 23pds (@IM_23pds) 23 septembre 2023
Les utilisateurs d’OpenSea ont déjà reçu des e-mails de phishing. En février 2022, OpenSea a officiellement confirmé que sa plate-forme était confrontée à une attaque de phishing provenant de l’extérieur du site Web d’OpenSea et a exhorté les utilisateurs à éviter de cliquer sur les liens contenus dans les e-mails. La société enquêtait également sur des rumeurs concernant un exploit associé aux contrats intelligents liés à OpenSea.
En rapport: Des pirates chinois utilisent une fausse application Skype pour cibler les utilisateurs de crypto dans le cadre d’une nouvelle escroquerie de phishing
OpenSea n’a pas immédiatement répondu à la demande de commentaires de Cointelegraph.
Cette dernière campagne de phishing survient juste après qu’OpenSea ait licencié 50 % de son personnel, avec l’intention affichée de lancer OpenSea 2.0 avec une équipe plus réduite.
Cette attaque est un autre rappel à la communauté des crypto-monnaies de rester vigilante lorsqu’elle reçoit des e-mails de fournisseurs de services. Pour éviter un piratage de phishing, les utilisateurs doivent faire attention à l’authenticité de l’expéditeur de l’e-mail et aux liens associés. Les utilisateurs doivent également se rappeler que les sociétés de cryptographie ne demandent jamais à leurs utilisateurs de données personnelles telles que des adresses de portefeuille ou des clés privées.
Revue: Comment protéger votre crypto dans un marché volatil – Les OG et les experts Bitcoin interviennent