Attaque OpenSea – Une opération de phishing ciblée et 1,7M$ de NFTs dérobés

Le week-end n’aura pas été des plus tendres dans le secteur des cryptomonnaies. Avec un marché entraîné par le Bitcoin dans sa chute sous les 40 000$. Le tout soutenu par une couleur rouge qui commence à devenir trop régulièrement présente dans le portefeuille de ses investisseurs. Et entre colère et frustration, l’annonce d’une possible attaque de la plateforme OpenSea. Un tweet officiel à l’origine d’un vent de panique dans les rangs de ses collectionneurs. Et une opération qui aura permis au hacker de dérober pour 1,7 million de dollars de NFTs populaires.

La tension est palpable sur le marché des cryptomonnaies, comme à chaque fois que la baisse s’installe. Cela entre règlements de compte en mode parrain de la mafia italienne vs influenceurs et affrontements à coup de tweets enflammés. Avec au centre de tout cela, des investisseurs désabusés, en train d’expliquer que les -45% enregistrés depuis le dernier ATH du Bitcoin ne leur permettent pas de se protéger des 5% d’inflation annuelle. Et comme cerise sur le gâteau, de nombreuses mentions d’attaques de portefeuilles MetaMask vidés du peu qu’il reste.

Mais c’est bien souvent les pieds dans le sang qu’un marché financier peut réellement mesurer sa force et sa résistance. Car même si les sommets annoncés ne sont pas (encore ?) atteints, personne n’avait affirmé que cela serait simple et sans encombre. En particulier si l’on considère que la débâcle actuelle est le terreau propice à la mise en place d’arnaques. Car la panique et la colère ne font jamais bon ménage avec l’esprit critique nécessaire pour y faire face. Une douloureuse expérience menée durant le week-end par certains utilisateurs de la plateforme OpenSea.

NFT – Attaque de la plateforme OpenSea ?

Tout a commencé ce dimanche 20 février, avec une publication officielle du compte Twitter de la plateforme OpenSea. Il était environ 2h du matin en France, lorsque cette dernière a annoncé une « enquête » en cours au sujet d’une attaque dont elle serait la victime. Avec dans un premier temps, la suspicion d’une exploitation de faille « associée aux smart contracts » de sa place de marché. Et comme conséquence, un véritable vent de panique dans les rangs de ses collectionneurs tentant de déplacer leurs NFTS en sécurité.

« Nous enquêtons activement sur les rumeurs d’un exploit associé aux contrats intelligents liés d’OpenSea. Cela semble être une attaque de phishing provenant de l’extérieur du site Web. Ne cliquez pas sur les liens en dehors de http://opensea.io« 

Opensea

Mais très rapidement, les détails entourant cette opération frauduleuse ont mis en évidence ce qui ressemblait bien plus à une opération de phishing ciblée. Avec au final 32 comptes distincts concernés par une interaction effective avec l’attaquant. Mais selon les dernières déclarations d’OpenSea, « seulement » 17 d’entre eux dont les précieux jetons ont effectivement été volés. Résultat : un butin tout de même estimé à 1,7 million de dollars au total (environ 640 ETH) visible sur l’adresse etherscan du nom de Fake_Phishing5169. Cette dernière déclarée comme inactive depuis plus de 15h.

Le PDG de la plateforme OpenSea explique que l’origine de cette opération de phishing n’est pas encore connue. Car il peut tout aussi bien s’agir d’un simple e-mail envoyé à des adresses ciblées. Ou d’un site frauduleux demandant une signature de la part de ses utilisateurs qui s’avère être une porte ouverte sur leurs comptes. Avec comme résultat le vol de NFTs populaires issus de collections comme les Bored Ape Yacht Club, Azuki, Doodles ou encore Cool Cats.

OpenSea – Une mise à niveau qui dérape ?

Mais de toute évidence, la date de cette attaque n’a pas été choisie par hasard. Car il semble qu’elle coïncide avec le lancement d’une « mise à niveau » effectuée par la plateforme OpenSea. Cela sous la forme d’un nouveau smart contract répondant au nom de Wyvern 2.3, censé permettre de régler un autre problème. Une exploitation de faille intervenue en début d’année et à l’origine d’une « vente flash » de certains NFTs de collections populaires. Car il était possible de les acquérir à d’anciens prix de vente invisibles sur le frontend de la plateforme et encore valides.

« Cette mise à niveau garantit que les anciennes listes inactives sur Ethereum expirent en toute sécurité et nous permet d’offrir de nouvelles fonctionnalités de sécurité à l’avenir.« 

Opensea Support

Une mise à niveau nécessaire, mais dont le déploiement effectif implique une migration à effectuer avant le 25 février. Avec une procédure assez simple en apparence, puisqu’elle n’exige même pas (heureusement) le règlement de frais de gas sur le réseau Ethereum. Mais dont la validation passe néanmoins pour les utilisateurs concernés par la signature d’une autorisation émise par la plateforme OpenSea. Une occasion parfaite pour un hacker de profiter de cette actualité pour semer quelques liens frauduleux bien placés. Et c’est le drame…

Car il suffit de quelques secondes d’inattention pour signer une autorisation sur une plateforme qui n’est pas réellement OpenSea. Ou répondre à un e-mail en apparence tout à fait officiel et en relation à l’actualité, demandant de cliquer sur un lien pour effectuer la migration nécessaire. Sauf que cela permet juste de voir son portefeuille vidé dans les minutes qui suivent, sans rien pouvoir faire. Et constater que dans la foulée, les NFTs dérobés vont probablement se retrouver en vente sur d’autres plateformes comme LooksRare ou X2y2. Une affaire à suivre…