Hourra, les pirates ont transformé mon Twitter en une usine NFT Hype
Si vous m’aviez dit mercredi après-midi dernier, lorsque mon compte Twitter avait un grand total de trois tweets et quelque 200 abonnés, qu’environ 24 heures plus tard, le compte aurait tweeté 577 fois et augmenté son nombre d’abonnés à 42 000, je n’aurais pas t’a cru. Et si vous m’aviez en outre dit que cette ascension insondable faisait partie d’une arnaque massive visant à escroquer les acheteurs potentiels de Moonbird sur des dizaines de milliers de dollars en crypto-monnaie, je vous aurais demandé ce qu’est un Moonbird. Et pourtant nous y sommes.
Revenons en arrière un instant. Mercredi, mon compte Twitter a été piraté. Les pirates ont immédiatement réinitialisé le mot de passe et changé l’adresse e-mail associée, me bloquant complètement. J’ai signalé le piratage au support Twitter, mais je ne l’ai pas trouvé particulièrement préoccupant, en partie parce que je consulte Twitter à peu près aussi souvent que j’envoie des lettres manuscrites et en partie parce que, pendant un certain temps au moins, les pirates ne semblaient pas faire beaucoup de tout avec le compte. Pour autant que je sache, ils auraient pu faire des ravages dans mes DM (et, en fin de compte, ils voudrais causer de légers ravages), mais d’un coup d’œil, tout avait l’air comme avant.
Jusqu’au lendemain. Jeudi matin, le compte s’est transformé en une réplique presque parfaite du compte Twitter officiel de Moonbirds, une collection de jetons non fongibles NFT qui a fait ses débuts à la mi-avril et a rapidement généré 489 millions de dollars de volume de transactions au cours de ses deux premières semaines de existence, le plus de toute collection au cours de cette période. (Les NFT Moonbird individuels sont essentiellement de petits hiboux pixélisés colorés. Ils ressemblent un peu à un croisement entre un avatar Club Penguin et un Pokémon. Vous pouvez acheter le vôtre pour 80 000 $.) Les pirates ont changé le nom, la biographie, la photo de profil et la couverture de mon compte. photo pour correspondre au compte officiel Moonbirds, sauf avec un lien frauduleux au lieu du vrai lien pour acheter les NFT. Ils ont supprimé mes trois tweets et, plutôt sournoisement, ont retweeté un avertissement du compte officiel Moonbirds pour les acheteurs potentiels de « MÉFIEZ-VOUS des escrocs ».
Parce que mon compte est vérifié, ils ont conservé la coche bleue que Twitter affiche à côté de mon nom, un sceau de légitimité qui est probablement la raison pour laquelle les pirates m’ont ciblé en premier lieu, selon Dipanjan Das et Priyanka Bose, chercheurs à l’UC Santa Barbara qui , ainsi que plusieurs collègues, ont récemment mené ce qui, à leur connaissance, est la première étude systématique des problèmes de sécurité sur le marché NFT. Au cours des deux dernières semaines, plus d’une douzaine de comptes vérifiés ont été piratés par des escrocs Moonbirds. Le fils de Bernie Sanders, Levi, a été piraté. Le joueur de cricket Martin Guptill a été piraté. Ma collègue Caitlin Dickerson a été piratée. (Je suis honoré d’être en leur compagnie.) En saisissant des comptes vérifiés en particulier, m’ont dit Das et Bose, les pirates renforcent la crédibilité des faux comptes Moonbirds – pour que l’arnaque fonctionne, les gens doivent confondre les répliques avec le vrai une.
Une autre façon pour les pirates de le faire est d’augmenter le nombre de leurs abonnés. Mes maigres quelques centaines de followers auraient probablement été un signal d’alarme immédiat pour les acheteurs potentiels que quelque chose n’allait pas. Mais 42 000 ? Voilà qui est un peu plus convaincant. À un moment donné jeudi matin, mon nombre de followers montait en flèche à un rythme d’environ 200 par minute. Au cours de la journée, il a augmenté de 14 700 %. Ce qui se passe ici a à voir avec ce que Das et Bose appellent les comptes de promoteurs, qui comptent des centaines de milliers ou parfois des millions d’abonnés, et dont toute la raison d’être, à peu près, est d’organiser des tombolas. Lorsqu’un compte d’arnaque NFT (ou n’importe quel compte, vraiment) veut augmenter artificiellement son propre nombre d’abonnés, il peut payer l’un de ces comptes de promoteur pour organiser une tombola où le prix d’entrée suit le compte d’arnaque, plutôt que de payer un billet . Les robots ont également tendance à se faire prendre dans ces filets, m’ont dit Das et Bose, et ils représentent probablement bon nombre de mes dizaines de milliers de nouveaux abonnés. Combien est difficile à dire.
Cependant, tout ce travail de renforcement de la crédibilité n’est qu’une simple préparation. Ce n’est qu’avec la tempête de tweets que l’arnaque commence sérieusement. Jeudi matin à 10h13, les pirates ont tweeté depuis mon compte : « Nous sommes ravis de lancer l’expérience Nesting pour Moonbirds ! C’est le coup d’envoi de notre positionnement de produit autour d’une communauté à long terme », ont-ils écrit, ajoutant un graphique et un lien de phishing qui ressemblaient superficiellement au lien réel vers le site Moonbirds. Puis, dans un seul fil, ils ont procédé au cours des heures suivantes à l’envoi de 567 tweets marquant sans discernement des milliers de personnes au hasard. Le tweet principal a maintenant été partagé 1 400 fois. Les liens frauduleux ont tendance à fonctionner de deux manières, m’ont dit Das et Bose. Dans le premier, le lien dirige les acheteurs potentiels vers un site qui les invite à transférer une somme de crypto-monnaie en échange d’un NFT, puis leur donne soit un faux NFT, soit rien du tout. La seconde est encore plus destructrice : dans cette version, le site demande aux acheteurs leur clé personnelle, que les escrocs peuvent utiliser pour voler tout le contenu de leur portefeuille crypto.
Lorsque j’ai découvert ce qui se passait sur mon compte jeudi matin, j’ai été surpris que Twitter ne soit pas encore intervenu. J’ai compris pourquoi l’entreprise hésiterait à transférer instantanément le contrôle d’un compte à la première personne revendiquant la propriété légitime, mais je me serais attendu à ce qu’elle intervienne lorsque les pirates ont commencé à spammer des comptes aléatoires. Das et Bose ont également été surpris que Twitter n’ait pas gelé mon compte à ce stade, étant donné qu’un tel comportement est une violation claire des termes et conditions du site. (Lorsque les deux chercheurs ont déployé une tactique similaire dans le cadre de leur travail, ils ont été fermés presque immédiatement.) Twitter n’a pas répondu à une demande de commentaire sur toute cette débâcle, mais son équipe d’assistance est finalement arrivée : jeudi 27h après le piratage, le support Twitter m’a rendu le contrôle de mon compte. Enfin, je pouvais revenir à ne pas tweeter.
Personne ne sait qui sont les pirates. Et il est impossible de savoir si quelqu’un est tombé dans le piège du lien frauduleux que mon compte piraté avait tweeté. Mais des dizaines de personnes semblent avoir été victimes de l’arnaque plus large des Moonbirds. Le compte officiel Moonbirds a tweeté plusieurs fois sur les escroqueries (son tweet épinglé est toujours le « ATTENTION aux arnaqueurs” injonction que les hackers de mon compte ont habilement cooptée), et les réponses sont remplies de monde déplorant leurs mésaventures, demander réparationou alors exhortant à une action préventive. Plusieurs ont affirmé avoir fait confiance aux comptes frauduleux parce qu’ils étaient vérifiés et demandé comment ils ont atteint ce statut. « 3 000 en eth sur un mauvais clic », a écrit l’un victime apparente, faisant référence à la crypto-monnaie Ether. (Le compte Twitter officiel des Moonbirds – oui, le vrai – n’a pas répondu à une demande de commentaire.)
Comme le ballon de battage médiatique NFT a gonflé au cours de la dernière année, Das et Bose m’ont dit, les escroqueries ont proliféré. Au cours des derniers mois seulement, des piratages similaires à celui de Moonbirds ont ciblé un certain nombre d’autres collections NFT populaires, notamment Bored Ape Yacht Club et Azuki. D’autres escrocs ont utilisé des publicités Facebook et Instagram pour diffuser leurs liens malveillants. Il y a, à première vue, une certaine ironie dans le fait que les gens se font arnaquer en essayant d’acheter quelque chose qui, si vous demandez aux sceptiques de NFT, est déjà en soi une arnaque. Appelez cela une arnaque de second ordre. Là encore, si l’ironie exige la subversion des attentes, il n’y a peut-être rien d’ironique à cela. Bien sûr, un raz-de-marée de battage médiatique va créer des conditions idéales pour les escrocs. Bien sûr, les personnes emportées par ce raz-de-marée – dont beaucoup ont un grand enthousiasme pour les NFT et une compréhension technique moins que suffisante de leur fonctionnement réel – vont constituer des cibles faciles. Même mécaniquement parlant, ces escroqueries n’ont rien de nouveau : « Ce n’est qu’une manifestation de ce phishing séculaire », m’a dit Das.
Rien de nouveau pour le monde, mais certainement nouveau pour moi. Pour le moment, mon compte semble encore un peu moins bon pour l’usure. Je n’ai pas encore parcouru et supprimé mes 577 nouveaux tweets, et mes 41 000 nouveaux abonnés, qu’ils soient humains ou robots, ne m’ont pas encore abandonné. Je ne peux qu’espérer qu’ils deviennent aussi excités à propos de L’Atlantiquedu journalisme à mesure qu’ils découvrent les Moonbirds.