32 comptes attaqués, 254 NFT volés pour une valeur de 641 Ether (ETH), soit un butin d’environ 1,6 million de dollars, voilà le bilan du braquage subi par des utilisateurs de la plateforme OpenSea dans la soirée du 19 février. La méthode utilisée par la, le, ou les pirates reste obscure.

Certains NFT très précieux ont disparu

Parmi les jetons dérobés, certains appartenaient à la collection Bored Ape Yacht Club, l’une des plus précieuses depuis l’arrivée des NFT. D’autres sont liés à la collection Azuki : l’un d’entre eux aurait été immédiatement revendu pour 13,4 ETH, environ 34 700 dollars selon le cours actuel de la cryptomonnaie.

Ce vol serait le fruit d’un piratage survenu entre 17h et 20h le 19 février. La panique créée dans le microcosme des adeptes de NFT a été réelle. Un Space a réuni 3 700 personnes paniquées dès le début de l’attaque. La plateforme touchée, OpenSea, a explosé avec le succès des NFT et est aujourd'hui valorisée à environ 13 milliards de dollars.

Quelques heures plus tard, dans la nuit, le cofondateur et PDG d’OpenSea, Devin Finzer, a fourni quelques éléments sur Twitter. Il a expliqué « Nous sommes convaincus qu'il s'agissait d'une attaque de phishing », tout en admettant « Nous ne savons pas où le phishing s'est produit ».

Le PDG d’OpenSea assure que l’attaque ne vient pas du site, ni ses systèmes d’inscription, ni des mails de la société. Il ajoute avoir contacté les victimes du piratage et qu’aucune ne semble avoir reçues ou cliqué sur des liens suspects avant de se faire voler ses précieux NFT.

Si l’hameçonnage semble certain, les détails de l’attaque restent très flous. The Verge rapporte l’exploitation d’une faille du protocole Wyvern, il sous-tend la plupart des contrats de NFT, dont ceux sur OpenSea. Les victimes auraient signé un contrat partiel, puis le pirate aurait complété ledit contrat de façon à se transférer gratuitement le NFT.

L’attaque est extérieure à OpenSea, compris ?

Le directeur technique d’OpenSea, Nadav Hollander a confirmé, « Toutes les commandes malveillantes contiennent des signatures valides des utilisateurs concernés, indiquant qu'ils ont signé une commande quelque part, à un moment donné ».

Ce dernier exclu qu’une mise à jour du système de contrats d’OpenSea, en cours au même moment soit responsable de la situation. Une hypothèse retenue un temps, puis rejetée à cause du faible nombre de victimes.

Subsiste une question : comment le pirate a-t-il convaincu ou trompé ses victimes pour obtenir leur signature ? Mystère. Devin Finzer, a déclaré travailler « activement avec les utilisateurs dont les éléments ont été volés pour réduire un ensemble de sites Web courants avec lesquels ils ont interagi et qui pourraient être responsables des signatures malveillantes ».

Depuis le fil Twitter du PDG d’OpenSea et de son directeur technique le 20 février, où chacun a lourdement insisté sur l’origine extérieure de l’attaque, aucune nouvelle information n’a été publiée. OpenSea propose une assistance aux victimes du piratage qui le souhaitent.