Le monde des NFT est de nouveau frappé par une attaque au phishing. Cette fois-ci, c’est le compte Instagram du Bored Ape Yacht Club qui en a été la cible. Yuga Labs, la société derrière cette collection de jetons non fongibles estime le préjudice à près de 3 millions de dollars.
Encore des NFT volés
C’est au travers d’une fausse publicité annonçant un airdrop, une distribution « gratuite » de NFT, que le hacker a réussi à berner 44 personnes. La publication mensongère les incitait à connecter leur porte-monnaie MetaMask afin de recevoir le précieux jeton. Les malheureux tombés dans le piège ont signé un « smart contract », un contrat intelligent qui permet d’autoriser les transactions en cryptomonnaies, créé de toutes pièces par l’utilisateur malveillant pour siphonner leurs porte-monnaies.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
La fausse annonce utilisée pour berner les abonnés au compte Instagram du Bored Ape Yacht Club. Capture d’écran : Vice.
« Le hackeur a posté un lien frauduleux menant à une imitation du site du Bored Ape Yacht Club où une attaque safeTransferFrom demandait aux utilisateurs de connecter leur profil MetaMask au porte-monnaie de l’escroc afin de participer à un faux airdrop. À 9 heures 53 nous avons alerté notre communauté, supprimé tous les liens d’Instagram sur nos plateformes et tenté de retrouver les accès au compte », a déclaré un porte-parole de Yuga Labs.
Au total, 133 NFT ont été dérobés. Parmi eux, 4 Bored Ape, 6 Mutant Ape et 3 Bored Ape Kennel Club. Un butin estimé à 3 millions de dollars au moment des faits.
Le hacker est passé par Instagram
Les créateurs de l’une des collections de NFT les plus cotées du moment assurent avoir tout mis en œuvre pour sécuriser du mieux possible l’accès à leur Instagram. « L’authentification deux facteurs était activée et les pratiques de sécurité autour du compte Instagram étaient strictes. Yuga Labs et Instagram sont actuellement en train d’enquêter sur comment le hacker s’y est pris pour accéder au compte », a indiqué l’entreprise dans une déclaration par mail.
This morning, the official BAYC Instagram account was hacked. The hacker posted a fraudulent link to a copycat of the BAYC website with a fake Airdrop, where users were prompted to sign a ‘safeTransferFrom’ transaction. This transferred their assets to the scammer's wallet.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
« Les attaques par Instagram ne sont pas nouvelles mais elles comportent souvent un élément d’ingénierie sociale », explique Jake Moore, conseiller mondial en cybersécurité chez la société de sécurité ESET, à The Guardian.
Les cas de vols et d’escroqueries sont monnaies courantes dans le monde de la cryptomonnaie et des NFT. Au début du mois, le Bored Ape Yacht Club, ainsi que d’autres grosses collections, avaient déjà fait les frais d’un piratage sur leurs serveurs Discord respectifs.
Le jeu Axie Infinity avait également été la cible d’une attaque du groupe Lazarus, fin mars. Les hackers nord-coréens s’étaient emparés de 625 millions de dollars en cryptomonnaies.
