Alors que les jetons non fongibles (NFT) sont devenus plus populaires, les mauvais acteurs qui essaient constamment d’exploiter les utilisateurs dans l’espace sont devenus plus actifs. Maintenant, un nouveau piratage impliquant une fonctionnalité sur le marché NFT OpenSea menace les détenteurs de NFT via des sites de phishing.
Dans une annonce, le projet antivol Harpie averti Utilisateurs NFT d’un nouveau hack impliquant des ventes sans gaz sur la plateforme OpenSea. Selon Harpie, les pirates ont pu voler des millions d’actifs numériques en exploitant cette fonctionnalité.
Lorsque les utilisateurs souhaitent effectuer des ventes sans gaz au sein de la plateforme OpenSea, ils doivent approuver une demande de signature avec un message illisible. Grâce à cette fonctionnalité, les utilisateurs peuvent également être autorisés à créer des enchères privées avec des signatures illisibles.
Les pirates ont pu voler des NFT comme par magie avec une fonctionnalité OpenSea peu connue. C’est le hack le plus récent, et plusieurs millions de singes ont déjà été perdus.
(1/4) pic.twitter.com/fTK20WQrgh
— Harpie (@harpieio) 22 décembre 2022
Pour cette raison, les sites Web de phishing utilisent cette fonctionnalité pour demander à leurs victimes de signer l’un de ces messages illisibles. Selon Harpie, les signatures se présentent souvent comme une étape nécessaire pour se connecter et accéder au site Web.
Cependant, les messages de connexion sont en fait des demandes de signature pour effectuer une vente privée des NFT de la victime à l’escroc pour 0 Ether (ETH). S’il est signé, il enverra les NFT à l’adresse du portefeuille du pirate.
En rapport: Les projets préfèrent être piratés plutôt que de payer des primes, affirme un développeur Web3
Outre cette arnaque, la société de sécurité blockchain CertiK a également récemment émis un avertissement à la communauté cryptographique sur ce qu’ils décrivent comme du « ice phishing ». Grâce à cet exploit, les escrocs trompent les utilisateurs de Web3 pour qu’ils signent des autorisations qui permettent aux attaquants de dépenser leurs jetons. CertiK a noté que l’escroquerie est une menace importante et est unique au monde Web3.
Le 17 décembre, un analyste a évoqué la façon dont un escroc a utilisé la fonction de signature Seaport sans gaz pour prétendument voler 14 NFT Bored Ape. Après avoir effectué une ingénierie sociale approfondie, le pirate a dirigé la victime vers une fausse plateforme NFT avant de demander au titulaire de signer un contrat. Cela a été suivi par le portefeuille de la victime qui a été vidé.