NFT vs phishing – Comment identifier et éviter les arnaques potentielles ?

Les détenteurs de NFTs sont devenus les cibles privilégiées d’arnaques en tout genre. Et lorsque le jeton effectivement acheté est bien supporté par un projet réel, ce sont les attaques de phishing qui prennent le relais. Cela afin de dépouiller ces victimes désignées des droits acquis sur leurs précieuses images numériques. Une réalité qui a frappé à plusieurs reprises la communauté des Bored Ape Yacht Club au cours des derniers mois, avec des pertes comptabilisées en millions de dollars. Mais les détenteurs de BAYC ne sont pas les seuls à se faire avoir. Et, comme le souligne la structure de sécurité CertiK, quelques règles d’hygiène crypto s’imposent.

Le constat est aussi inquiétant qu’accablant. Plus de 90% des détenteurs de NFTs ont déjà été victimes d’une escroquerie avérée. Avec à la clé des pertes parfois colossales, en fonction de la collection concernée. Et depuis quelques mois, des campagnes de phishing agressives à destination des détenteurs de Bored Ape Yacht Club. La dernière en date effectuée il y a quelques jours, suite au piratage du compte Discord d’un responsable de sa communauté. Le tout pour un préjudice estimé à 142 ETH (plus de 255 000$ au moment des faits).

NFT, Metaverse et Web3

NFT - Comment s'assurer des profits sur le marché des jetons non fongibles

Hugh B. - 06 Déc 2021 - 17:00

Le secteur des jetons NFT a connu une évolution sans précédent au cours de [...]

Lire la suite >>

Bien évidemment peu de recours (voire aucun) sont possibles. Et toutes les collections sont visées, même si les plus populaires sont privilégiées. Avec des procédures très bien construites, mais le plus souvent identifiables pour qui ne cède pas à la précipitation. Des éléments en partie soulignés par la structure de sécurité CertiK dans une récente publication sur le sujet.

NFT – Hygiène numérique vs phishing

Tout cela s’appelle de l’hygiène numérique. Et il est toujours plus simple de la présenter plutôt que de l’appliquer à soi-même. Surtout quand le lien rencontré précise qu’il n’y a qu’une centaine d’exemplaires à se procurer dans les plus brefs délais. Et que – par la plus grande des chances – votre adresse a été sélectionnée pour y participer. Cela pour se retrouver au final à livrer ses propres NFTs au hacker en payant dans le même temps la facture des frais de réseau pour les lui envoyer. Une procédure de phishing classique, mais qui continue pourtant à faire des ravages. Raison pour laquelle cette mise au point semble une nouvelle fois nécessaire.

NFT, Metaverse et Web3

Arnaque vs NFT - Le code peut-il toujours être la loi ?

Hugh B. - 25 Mai 2022 - 09:00

En théorie, le secteur des cryptomonnaies repose sur le principe immuable du [...]

Lire la suite >>

Et même si ce genre d’attaque ne touche pas uniquement le secteur des jetons NFT, ce dernier semble être devenu un terrain de jeu tout particulièrement privilégié. Peut-être en partie car leur adoption sort très largement de la zone crypto, réputée (un peu) plus résistante à ce genre de désagréments. Ou parce que leur indivisibilité structurelle (non fongible) rend ce genre d’opération plus simple et rentable. Quoi qu’il en soit, leurs détenteurs doivent se méfier des liens envoyés à leur attention, ou disposés sur les réseaux sociaux afin d’attendre la prochaine victime. Car les pièges sont partout…

NFT – Comment identifier un site de phishing ?

Raison pour laquelle la structure CertiK vient de publier un compte-rendu des attaques dont a été victime la communauté BAYC. Avec une mise en évidence des points à prendre en compte afin d’identifier une copie conforme de leur site officiel, créé pour tromper ses victimes. Mais sur laquelle il manquait, entre autres, les liens classiques redirigeant vers les comptes de réseaux sociaux. Des différences présentées comme « subtiles » mais qui, une fois identifiées, doivent absolument déclencher toutes les alertes… et la fuite !

« Le lien de phishing publié sur le Discord du BAYC redirigeait vers une copie conforme du site Web officiel des projets, mais avec des différences subtiles. Premièrement, il n’y avait aucun lien vers des comptes de médias sociaux. Il y avait aussi un onglet ajouté intitulé « réclamer des terres gratuites » qui s’adressait spécifiquement aux détenteurs de projets NFT populaires.« 

CertiK

Tout comme le fait de se laisser berner par une publication sur Twitter dont le nom semble être officiel, mais dont le compte en « @ » n’a rien de rassurant. Cela même s’il bénéficie du précieux symbole de validation dont on se demande comment Twitter les distribue. Et pour laquelle votre propre compte a été identifié parmi une liste improbable en copié/collé dans les commentaires. Avec cette règle assez simple : ce qui vient à vous est douteux et doit être vérifié. Cela en se rendant sur le compte officiel du projet censé procéder à cette campagne de « cadeaux. » Et en partant du principe que le moindre doute doit être éliminatoire, même s’il risque de faire rater une « opportunité » qui a tout d’improbable. Car elle a tout d’improbable !