Mi-février, les cybercriminels ont profité d’un processus de migration de contrats sur la plateforme de NFT OpenSea pour lancer leur attaque phishing.
Le NFT est un terme complexe à appréhender, que ce soit en anglais (non-fungible token) ou bien en français (jeton non fongible). Celles et ceux qui avaient fait l’effort de comprendre les technologies de la blockchain et de ses premières implémentations concrètes telles que les crypto-monnaies ont dû faire l’effort de compréhension de ce nouveau concept.
Le NFT représente une avancée de la cryptographie dans le monde de l’art, de la culture, en permettant à des artistes de monétiser leurs créations numériques, de manière sécurisée, tracée et inaliénable. La propriété de ces actifs est enregistrée sur une blockchain, un grand livre numérique similaire aux réseaux qui sous-tendent le bitcoin et d’autres crypto-monnaies. Cependant, contrairement à la plupart des monnaies, une personne ne peut pas échanger un NFT contre un autre comme elle le ferait avec des dollars ou d’autres actifs. Chaque NFT est unique et fait office de pièce de collection qui ne peut être reproduite, ce qui les rend rares par nature.
Autour de ce concept de démocratisation des technologies de blockchain, le marché se développe et des places de marché numériques telles que OpenSea se sont fait une place au soleil…
Samedi dernier, un grand nombre d’utilisateurs d’OpenSea ont découvert que leurs comptes avaient été piratés. Des rumeurs ont initialement fait état d’un vol de 200 millions de dollars de NFT.
Dans les jours qui ont suivi, il a été confirmé que le piratage était beaucoup moins important que prévu. Seuls 17 utilisateurs ont perdu des jetons – 254 d’entre eux, pour être exact, d’une valeur collective estimée à 1,7 million de dollars. Bien que l’on ait d’abord pensé qu’il s’agissait d’un piratage qui avait compromis OpenSea lui-même, il a été déterminé que le vol provenait d’une attaque par hameçonnage (phishing) qui impliquait l’utilisation d’e-mails pour diffuser des liens malveillants présentés comme provenant de sources légitimes. OpenSea est actuellement en train de mettre à jour son système de SmartContracts. Les pirates semblent avoir profité de ces circonstances en utilisant Wyvern, le protocole open source utilisé pour les contrats de vente, lors d’une opération de migration des NFT vers un nouveau contrat, une étape durant laquelle la vulnérabilité des données et le besoin d’un niveau de sécurité élevé sont accrus.
Des actions légales sont en cours contre OpenSea suite à cet incident. Les sommes en jeu sont loin d’être négligeables.
Au-delà de la portée de cet événement et de son intérêt pour comprendre l’écosystème des NFT, il convient de se poser plusieurs questions :
· Le phishing est l’attaque cyber la plus fréquente, c’est pourquoi la demande de services de cyber sécurité explose. Les entreprises multiplient leurs investissements, mais tous les accompagnements se valent-ils ?
· Quelles sont les protections légales autour de ces transactions de NFT, qui peuvent aussi intéresser de grandes entreprises ?
· Comment s’assurer que les entreprises maîtrisent ces technologies de crypto et de blockchain, qui sont supposées être sécurisées, mais qui laisse toujours des ouvertures aux hackers, notamment dans leurs systèmes périphériques ?
