Web3, la célèbre technologie Internet décentralisée qui a centralisé une grande partie du marché NFT en une seule vitrine (Opensea), s’est réveillée ce week-end pour découvrir que le site aurait été compromis et que de nombreux NFT précieux auraient été volés.
L’alarme a été sonnée hier, lorsque certains utilisateurs ont commencé à remarquer que certains NFT, y compris certains jpg Bored Ape Yacht Club et Mutant Ape Yacht Club, manquaient à leur portefeuille. Mis à part le fait qu’il semble avoir été l’œuvre d’une seule personne (ou au moins d’un seul compte), c’est tout ce que nous connaître à coup sûr au moment de la publication. Comment tous ces trucs ont disparu, et combien le braquage « vaut », sont deux des détails encore en suspens.
Le co-fondateur et PDG d’Opensea, Devin Finzer, dit que le site est bon, et que « pour autant que nous puissions en juger » les personnes concernées ont été victimes d’une « attaque de phishing »
D’autres utilisateurs, cependant, ne sont pas si sûrs. Certaines victimes disent n’avoir jamais ouvert d’e-mails, et que la seule chose qu’elles avaient toutes en commun était qu’elles avaient migré manuellement leurs collections vers un nouveau contrat intelligent sur la plate-forme (un mouvement qui a lui-même été mis en œuvre car il « corrige un problème avec les listes inactives qui permettait aux escrocs de balayer les précieux NFT des collectionneurs sur OpenSea”) :
Aussi inconnu est l’exact valeur monétaire de ce qui a été volé. Bien qu’il soit bien sûr impossible de mettre un prix définitif sur les NFT volés, puisque tout le monde en dehors de la secte dirait qu’ils ne sont évalués à «rien», les estimations sur la «valeur» du braquage parmi ces abrutis vont du ridicule (200 millions de dollars) à des sommes beaucoup plus modestes (Finzer lui-même dit « L’attaquant a 1,7 million de dollars d’ETH dans son portefeuille en vendant certains des NFT volés »). Une troisième possibilité est que l’attaquant s’est en fait enfui sans environ 2,9 millions de dollarsce qu’ils ont pu faire en vendant les NFT volés sur… Opensea.
Et ce n’est même pas la partie la plus folle ! D’une manière ou d’une autre, pour une raison quelconque, l’agresseur n’a pas seulement volé, il a aussi, dans certains cas… rendu ? Comme Robin Hood, seulement si Robin Hood n’avait aucune idée de ce qu’il faisait. Comme le merveilleux Web 3 va très bien rapport:
Il a été déterminé plus tard qu’un attaquant avait réussi hameçonné 32 utilisateurs d’OpenSea ont signé un contrat malveillant, qui a permis à l’attaquant de prendre les NFT puis de les retourner. Bizarrement, le pirate a rendu certains des NFT à leurs propriétaires d’origine, et une victime a inexplicablement reçu 50 ETH (130 000 $) de l’attaquant ainsi que certains de ses NFT volés.
Rappelez-vous : tout l’intérêt de la blockchain, comme vous le diront trop volontiers les acolytes de la secte, c’est qu’elle est immuable et éternelle, et que tout ce qui s’y passe laisse une trace immuable. Une telle merde n’est pas censée arriver, car la blockchain est tellement plus sécurisée que l’internet existant !
Et encore! Nous voilà. Avec des utilisateurs soit victimes d’une attaque de phishing comme vos grands-parents essayant de marquer un vol pas cher vers la Floride sur Facebook, soit victimes d’une vulnérabilité de site de base sur l’un des emplacements les plus centralisés sur une technologie soi-disant décentralisée. Tue-moi.