OpenSea, l’une des plateformes d’échange NFT les plus populaires et les plus connues, a subi une attaque de pirates, probablement une campagne de phishing, qui a compromis 32 comptes et provoqué le vol de 254 tokens au total. Il s’agissait de plusieurs collections et œuvres qui ont actuellement une très grande valeur, notamment le Bored Ape Yacht Club et l’Azuki. Selon les estimations, la valeur totale du vol s’élève à 641 ETH, ce qui équivaut actuellement à environ 1,7 million de dollars.
L’incident a eu lieu samedi dernier, le 19 février. OpenSea a immédiatement commencé l’enquête et a déclaré qu’il pensait que l’attaque n’était pas causée par un problème directement lié au code du site. Cependant, selon plusieurs experts, l’affaire serait un peu plus compliquée que cela : les pirates auraient en effet exploité de manière abusive une fonctionnalité du protocole Wyvern, un standard open-source utilisé par de nombreuses plateformes ayant à voir avec la blockchain Ethereum utilisée pour la gestion des contrats.
Le 19 février, la panique s’est emparée de quelques utilisateurs qui ont vu leurs portefeuilles se vider de leurs précieux NFT sans savoir pourquoi, et beaucoup d’autres ont craint que la même chose ne leur arrive. Les premières explications ont mis en cause un nouveau contrat qu’OpenSea avait mis en place, ou un largage à partir d’un nouveau marché de NFT appelé X2Y2. Les gens ont exhorté les propriétaires de NFT à révoquer leurs autorisations pour le contrat OpenSea et pour X2Y2 jusqu’à ce que l’on en sache plus, bien que l’un des sites Web les plus populaires aidant les gens à le faire ait été fermé peu de temps après en raison du trafic élevé.
OpenSea: énorme vol de plus de 1,7 million de dollars de NFT au cours du week-end
De nombreux détails de l’attaque doivent encore être clarifiés; cependant, il semble que les utilisateurs aient été amenés à signer un accord partiel autorisant le transfert de NFT ; sans le transfert correspondant d’ETH. Le PDG et co-fondateur d’OpenSea, Devin Finzer, a confirmé que cette hypothèse coïncide avec les premiers résultats des enquêtes internes, qui sont cependant toujours en cours.
La nouvelle arrive à un moment décidément défavorable pour la plateforme. Plusieurs polémiques ont récemment vu le jour concernant la prolifération des faux travaux ou du plagiat ; et un employé a démissionné après avoir découvert qu’il exploitait illégalement des informations privilégiées pour gagner de l’argent sur les lancements de NFT. La veille, entre autres, OpenSea avait présenté un nouveau type de contrat intelligent ; invitant les utilisateurs à migrer tous leurs actifs.
Une heure et demie après que les utilisateurs ont commencé à signaler des NFT manquants, OpenSea a finalement reconnu le problème. Ils ont tweeté qu’ils « enquêtaient activement sur les rumeurs d’un exploit associé aux contrats intelligents liés à OpenSea » ; et ont écrit qu’ils pensaient qu’il s’agissait d’une attaque de phishing provenant de l’extérieur d’OpenSea ; plutôt qu’un problème avec leur contrat. Il a été déterminé plus tard qu’un attaquant avait réussi à hameçonner 32 utilisateurs d’OpenSea pour qu’ils signent un contrat malveillant ; ce qui a permis à l’attaquant de prendre les NFT puis de les retourner. Bizarrement, le pirate informatique a rendu certains des NFT à leurs propriétaires d’origine ; et une victime a inexplicablement reçu 50 ETH (130 000 $) de l’attaquant ainsi que certains de ses NFT volés.