CertiK partage des conseils de sécurité après le troisième compromis de sécurité BAYC en six mois
Le 4 juin, le populaire projet de jeton non fongible, ou NFT, Bored Ape Yacht Club (BAYC) a subi son troisième compromis de sécurité cette année. Près de 142 Ether (ETH) (250 000 $) de NFT ont été volés après que des pirates ont eu accès au compte Discord d’un responsable de la communauté BAYC et ont publié un message avec un lien vers un faux site Web.
Le lien annonçait un cadeau NFT gratuit à durée limitée aux utilisateurs qui connectaient leurs portefeuilles, qui étaient ensuite vidés de NFT. Au cours de deux occasions précédentes en avril, des pirates ont piraté les pages Discord et Instagram de BAYC et ont réussi à siphonner 91 NFT, d’une valeur de plus de 1,3 million de dollars au moment de la deuxième tentative, via un lien de phishing.
Comme l’a dit la société de sécurité blockchain CertiK, les pirates ont rapidement déplacé les fonds volés vers la plate-forme d’obscurcissement Tornado Cash, ce qui rend impossible de retracer tout autre flux de fonds sur la blockchain. Dans une déclaration à Cointelegraph, des sources de CertiK ont expliqué que, aussi légitime que puisse paraître le projet, « les détenteurs de NFT doivent également être très méfiants à l’égard de quiconque prétend offrir des actifs gratuits, car il peut souvent s’agir d’attaques de phishing ». De plus, CertiK a écrit :
« Dans le cas de l’attaque du 4 juin, le site malveillant en copie carbone présentait quelques petites différences. Premièrement, il n’y avait aucun lien vers des sites de médias sociaux sur le site de phishing. Il y avait aussi un onglet ajouté intitulé « demander un terrain gratuit » et plus précisément des projets NFT populaires ciblés. »
Par mesure de précaution, Certik a recommandé aux passionnés de cryptographie de rechercher des particularités subtiles sur ces sites, car ils sont souvent un indicateur d’activité malveillante. « À tout le moins, les utilisateurs qui s’engagent avec de tels cadeaux devraient toujours s’efforcer de confirmer la légitimité du site en le comparant à un site connu et confirmé et en recherchant toute anomalie », ont-ils conclu.