Les attaques récentes sont-elles les premières d’une longue série à venir ?

Les braquages ​​​​NFT font la une des journaux. Voici comment vous pouvez vous protéger, dit Indrė Viltrakytė, co-fondateur des Rebels.

Les attaques de phishing ne sont pas nouvelles. Parfois, ils sont faciles à repérer. Comme lorsque les invites sont accompagnées d’une demande d’envoi de vos informations bancaires à un prince d’un pays étranger lointain. Mais parfois, ils sont plus difficiles à repérer. Comme lorsqu’une demande d’approbation de la libération de vos actifs provient d’une source apparemment digne de confiance.

C’est ce qui s’est passé récemment dans une affaire de vol par hameçonnage NFT. Les utilisateurs ont fait confiance à un schéma qui impliquait la plate-forme Premint. Les utilisateurs ont accepté d’être invités à approuver une entité inconnue pour contrôler leurs actifs.

Le 17 juillet 2022, une plate-forme NFT populaire, Premint NFT, a été piratée. 314 NFT d’une valeur de 430 000 $ ont été volés. Les auteurs ont pu implanter un code malveillant sur le site Web officiel de Premint. Le code demandait aux utilisateurs de « définir des approbations pour tous » lors de la connexion de leurs portefeuilles numériques au site. Cela a permis aux attaquants d’accéder à leurs actifs cryptographiques et de voler leurs NFT.

Le nouveau monde des NFT – collection d’art numérique – pourrait faire l’objet de plus d’attaques de phishing.

Braquages ​​NFT : qu’est-ce qui est volé ?

Généralement, lorsque nous entendons le mot NFT, nous pensons à une image numérique unique et connectée à la blockchain. Il est cependant plus élaboré que cela. Lorsqu’on parle de NFT, le suivi de la propriété et l’unicité sont toujours accentués. Mais nulle part dans la norme NFT, il n’est indiqué ce que représentent les jetons uniques. Dans leur essence, les jetons ne sont que des numéros uniques. Ce sont les auteurs de la collection NFT qui définissent ce que ces jetons représentent.

De plus, les images ne sont généralement jamais « téléchargées dans le portefeuille crypto ». Ils ne font pas partie du contrat NFT. Un hachage de l’image peut être écrit dans le contrat pour créer une connexion avec la chose que le NFT représente. En outre, NFT en tant que norme ne se préoccupe pas de la valeur ou des opérations d’achat et de vente des NFT. Il ne fournit que des méthodes standard pour transférer la propriété NFT. Ce sont les marchés et la communauté qui s’appuient sur cela et traitent les NFT comme des marchandises.

En tant que marchandises, les NFT sont principalement achetés en tant qu’objets de collection, souvent utilisés à des fins d’investissement. Ils n’ont développé que récemment des cas d’utilisation pratiques. Un exemple est les vêtements de mode numériques dans le métaverse.

Que peut-on faire à l’avenir ?

Qui est à blâmer ? Est-ce l’utilisateur ? Ou la plateforme, qui a permis à un attaquant d’initier une transaction frauduleuse ?

Dans ce cas particulier, les attaquants ont pu afficher du contenu pour inciter l’utilisateur à signer la transaction frauduleuse.

Une raison vague et plausible de la transaction, associée à la confiance dans le site Web, a suffi à en tromper beaucoup. Cela dit, il est déraisonnable de s’attendre à ce que l’utilisateur moyen de Web3 puisse le contourner. La plupart n’avaient pas une expérience technique suffisamment solide pour remarquer que la transaction donnait en fait à quelqu’un l’accès à ses NFT.

Il est possible d’inciter les utilisateurs à signer des transactions si elles sont initiées par un site Web de confiance. Les actifs dans les portefeuilles des utilisateurs ne sont aussi sûrs que TOUTES les applications décentralisées (dapps) avec lesquelles l’utilisateur interagit ensemble. Des cas identiques sont susceptibles de se produire à l’avenir.

Les moyens d’améliorer la sécurité :

1. Les portefeuilles pourraient afficher des informations plus humaines pour les types d’interaction de contrat connus. Par exemple, un énorme message rouge disant : « Hé, vous donnez le contrôle de tous vos NFT à quelqu’un ! » Ce serait bien mieux que l’actuel tout en majuscules « SET APPROVAL FOR ALL » en gris dans la fenêtre de confirmation de transaction de MetaMask.

2. Les sites Web pourraient répertorier et publier les interactions contractuelles qu’ils pourraient initier. Les fournisseurs comme MetaMask pourraient refuser toute transaction non standard.

Braquages ​​NFT : comment les utilisateurs peuvent-ils se protéger ?

– Vérifiez les détails de la transaction avant de signer. Cela ne protégera pas l’utilisateur à 100 % du temps. Mais revoir quelle méthode sur quel contrat est crucial.

– Séparez les NFT (et autres actifs cryptographiques) en plusieurs portefeuilles. Si les utilisateurs sont amenés à donner à quelqu’un le contrôle de leurs actifs dans un portefeuille, au moins les actifs des autres portefeuilles sont en sécurité. C’est tant que vous ne partagez pas votre clé privée ou la phrase de départ.

– Utilisez différents portefeuilles pour différents dapps. Ce n’est pas toujours pratique de le faire lorsque le dapp est censé interagir avec d’autres actifs du portefeuille. Cependant, il est important d’essayer de ne garder que ce qui est pertinent.

A propos de l’auteur

Indrė Viltrakytė est le co-fondateur de l’entreprise de mode Web3 The Rebels. Il contient 10101 personnages uniques basés sur la campagne publicitaire controversée « Jesus, Maria ». La campagne a été interdite mais a ensuite trouvé justice devant la Cour européenne des droits de l’homme, qui s’est prononcée en faveur de la marque. L’affaire est désormais considérée comme un précédent dans les affaires liées à la liberté d’expression dans l’UE. Indrė Viltrakytė a plus de 10 ans d’expérience dans l’industrie de la mode.

Vous avez quelque chose à dire sur les cambriolages NFT ou autre chose ? Écrivez-nous ou rejoignez la discussion sur notre chaîne Telegram. Vous pouvez également nous retrouver sur Tik Tok, Facebook ou Twitter.

Clause de non-responsabilité

Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.