Une équipe de pirates a volé des NFT d’une valeur de plusieurs millions de dollars après avoir réussi à hacker le compte Instagram officiel de Bored Ape Yacht Club (BAYC) et l’avoir utilisé pour poster un lien frauduleux qui a transféré les NFT hors des portefeuilles des utilisateurs.
Le piratage a été révélé sur Twitter par BAYC lundi 25 avril.
🚨There is no mint going on today. It looks like BAYC Instagram was hacked. Do not mint anything, click links, or link your wallet to anything.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
“Il n’y a pas de mint en cours aujourd’hui“, “Il semble que BAYC Instagram ait été piraté.”
Un autre tweet d’un utilisateur non affilié au projet prétendait montrer l’image qui avait été postée par le compte BAYC, promouvant un “airdrop” – un don de tokens gratuits – pour tous les utilisateurs qui connectaient leurs portefeuilles MetaMask.
Malheureusement, l’avertissement de BAYC est arrivé trop tard pour un certain nombre de détenteurs des très chers NFT Bored Ape, ainsi que de nombreux autres NFT de valeur volés lors du piratage. Une capture d’écran postée par un utilisateur de Twitter montre une page OpenSea pour le compte du pirate recevant plus d’une trentaine de NFTs des projets Bored Ape, Mutant Ape, et Bored Ape Kennel Club et même les fameux Clonex de RTFKT – tous vraisemblablement pris aux utilisateurs qui ont connecté leurs portefeuilles après avoir cliqué sur le lien frauduleux.
La page de profil liée à l’adresse du portefeuille du hacker n’était plus visible sur OpenSea au moment de la publication. La responsable de la communication d’OpenSea, Allie Mack, a confirmé que le compte du hacker avait été banni de la plateforme, car les conditions d’utilisation d’OpenSea interdisent d’obtenir frauduleusement des objets ou de les prendre sans autorisation.
Mais étant donné la nature décentralisée de NFT, le contenu du portefeuille du hacker peut toujours être vu sur d’autres plateformes. Vu par la plateforme NFT Rarible, le portefeuille contenait 134 NFT, parmi lesquels quatre Bored Apes et de nombreux autres articles issus de projets réalisés par Yuga Labs – les créateurs de BAYC – tels que Mutant Apes et Bored Ape Kennel Club.
Indépendamment, la valeur de chacun des singes volés est largement supérieure à six chiffres, selon le prix de vente le plus récent. Le singe le moins cher, le n° 7203, a été vendu il y a quatre mois pour 47,9 ETH, ce qui équivaut à 138 000 dollars au cours actuel. Le singe #6778 a été vendu pour 88,88 ETH (256 200 $), tandis que le singe #6178 a été vendu pour 90 ETH ou 259 400 $. Enfin, le singe #6623, le plus précieux de tous, a été vendu il y a trois mois pour 123 ETH (354 500 $), ce qui signifie que la valeur totale des quatre singes volés s’élève à un peu plus d’un million de dollars. On ne sait pas encore comment le hacker a pu compromettre le compte Instagram du projet. Yuga Labs a déclaré que l’authentification à deux facteurs était activée au moment de l’attaque et que la sécurité du compte Instagram suivait les meilleures pratiques. Yuga Labs a également déclaré que l’équipe travaillait activement à établir un contact avec les utilisateurs touchés.
Bien que les NFT puissent être achetés et vendus pour d’énormes sommes d’argent, ils sont souvent détenus dans des portefeuilles de smartphones plutôt que dans des environnements plus sécurisés, car la populaire application de portefeuille de crypto décentralisée MetaMask ne prend en charge l’affichage des NFT que sur mobile. Elle encourage également les utilisateurs à gérer les NFT via l’application pour smartphone plutôt que via l’extension basée sur un navigateur. Cela signifie que l’utilisation d’Instagram pour diffuser un lien de phishing est un moyen efficace de voler des NFT, car le lien de phishing est plus susceptible d’être interagi à partir d’un portefeuille mobile.
Alors que les conseils de sécurité dans l’espace crypto suggèrent aux détenteurs de NFT de ne jamais connecter leur portefeuille à un tiers inconnu ou non fiable, le fait que le lien de phishing ait été envoyé par le compte officiel de médias sociaux de BAYC a probablement convaincu les victimes qu’il était légitime, ce qui soulève des questions difficiles sur l’endroit exact de la faute.
Yuga Labs n’a pour le moment pas encore répondu à la demande faite par coinactucrypto.com demandant si les victimes du piratage seraient indemnisées par le projet pour leurs pertes.