Des courriels prétendant provenir de la place de marché NFT au sujet d’un projet de migration de contrats intelligents pourraient être une attaque de phishing.
À la suite d’une série de tweets viraux de traders NFT paniqués, la principale place de marché OpenSea déclare enquêter sur des « rumeurs d’exploit » concernant les contrats intelligents connectés à sa plate-forme – une vulnérabilité qui pourrait avoir coûté de précieux jetons aux traders.
« Nous enquêtons activement sur les rumeurs d’un exploit associé aux smart contracts liés à OpenSea », a posté OpenSea sur Twitter samedi soir heures américaines. « Il semble s’agir d’une attaque de phishing provenant de l’extérieur du site web d’OpenSea. Ne cliquez pas sur les liens en dehors d’opensea.io ».
Vers 22h50 ET, le PDG d’OpenSea, Devin Finzer, a suivi dans un tweet que « 32 utilisateurs jusqu’à présent ont signé une charge utile malveillante d’un attaquant, et certains de leurs NFT ont été volés. » Il a ajouté que la société « n’est pas au courant de l’envoi récent d’e-mails de phishing aux utilisateurs » et a suggéré qu’un site Web frauduleux pourrait être en cause.
OpenSea avait prévu de réviser son contrat intelligent (le code régissant sa plateforme de négociation, essentiellement) en publiant un tout nouveau contrat vendredi. Le contrat mis à jour visait à garantir que les anciennes listes inactives sur la plateforme finiraient par expirer.
Sur Twitter, les traders ont partagé ce qu’ils avaient initialement pensé être des e-mails officiels d’OpenSea concernant le processus de migration du contrat A vers le contrat B.
PeckShield, une société de sécurité blockchain qui audite les contrats intelligents, a déclaré que l’exploit dont on parlait était « très probablement du phishing » – un contrat malveillant caché dans un lien déguisé. La société a cité ce même courriel de masse sur le processus de migration comme l’une des sources possibles du lien.
L’adresse de l’attaquant apparent (que le site Web d’exploration de blockchain Etherscan a déjà dotée d’un badge d’avertissement « phish/hack ») détient environ 1,7 million de dollars d’ETH, ainsi que trois jetons du Bored Ape Yacht Club, deux Cool Cats, un Doodle et un Azuki.
