Un voleur vole 1 million de dollars de NFT du Bored Ape Yacht Club avec un piratage Instagram

Un pirate informatique a volé des NFT d’une valeur de plusieurs millions de dollars après avoir compromis le compte Instagram officiel du Bored Ape Yacht Club (BAYC) et l’avoir utilisé pour publier un lien de phishing qui transférait des jetons hors des portefeuilles cryptographiques des utilisateurs.

Le hack était divulgué sur Twitter par BAYC juste avant 10h HE le lundi matin. “Il n’y a pas de menthe en cours aujourd’hui”, lit-on sur le Tweet. “On dirait que BAYC Instagram a été piraté.”

Une autre tweeter d’un utilisateur non affilié au projet a prétendu montrer l’image qui avait été publiée à partir du compte BAYC, faisant la promotion d’un “airdrop” – essentiellement un cadeau de jeton gratuit – pour tous les utilisateurs qui ont connecté leurs portefeuilles MetaMask.

Malheureusement, l’avertissement de BAYC est arrivé trop tard pour un certain nombre de détenteurs des NFT Bored Ape extrêmement coûteux, ainsi que de nombreux autres NFT précieux volés dans le piratage. UN capture d’écran publié par un utilisateur de Twitter a montré une page OpenSea pour le compte du pirate recevant plus d’une douzaine de NFT des projets Bored Ape, Mutant Ape et Bored Ape Kennel Club – tous probablement tirés d’utilisateurs qui ont connecté leur portefeuille après avoir cliqué sur le lien de phishing.

La page de profil liée à l’adresse du portefeuille du pirate n’était plus visible sur OpenSea au moment de la publication. Le responsable des communications d’OpenSea, Allie Mack, a confirmé Le bord que le compte du pirate avait été interdit sur la plate-forme, car les conditions d’utilisation d’OpenSea interdisaient d’obtenir frauduleusement des articles ou de les prendre d’une autre manière sans autorisation.

Mais étant donné la nature décentralisée de NFT, le contenu du portefeuille du pirate peut toujours être consulté sur d’autres plates-formes. Vu via la plate-forme NFT Rarible, le portefeuille contenait 134 NFT, dont quatre Bored Apes et de nombreux autres éléments de projets réalisés par Yuga Labs – les créateurs de BAYC – tels que Mutant Apes et Bored Ape Kennel Club.

Indépendamment, chacun des singes volés vaut bien en six chiffres sur la base du prix de vente le plus récent. Le Ape le moins cher, # 7203, a été vendu pour la dernière fois il y a quatre mois pour 47,9 ETH, ce qui équivaut à 138 000 $ au prix de change actuel. Ape # 6778 a été vendu pour la dernière fois pour 88,88 ETH (256 200 $), tandis que Ape # 6178 s’est vendu pour 90 ETH ou 259 400 $. Et Bored Ape # 6623 était le plus précieux de tous, vendu il y a trois mois pour 123 ETH (354 500 $) – ce qui signifie que collectivement, la valeur totale des quatre singes volés est d’un peu plus d’un million de dollars.

On ne sait pas encore comment le pirate a pu compromettre le compte Instagram du projet. Dans une déclaration envoyée à Le bord par e-mail et également publié sur Twitter, Yuga Labs mentionné que l’authentification à deux facteurs était activée au moment de l’attaque et que la sécurité du compte Instagram suivait les meilleures pratiques. Yuga Labs a également déclaré que l’équipe travaillait activement pour établir un contact avec les utilisateurs concernés.

Bien que les NFT puissent être achetés et vendus pour d’énormes sommes d’argent, ils sont souvent détenus dans des portefeuilles de smartphones plutôt que dans des environnements plus sécurisés, car l’application populaire de portefeuille crypto décentralisé MetaMask ne prend en charge que l’affichage NFT sur mobile. Il encourage également les utilisateurs à gérer les NFT via l’application pour smartphone plutôt que l’extension basée sur le navigateur. Cela signifie que l’utilisation d’Instagram pour fournir un lien de phishing est un moyen efficace de voler des NFT, car le lien de phishing est plus susceptible d’interagir avec un portefeuille mobile.

Alors que les conseils de sécurité dans l’espace cryptographique suggèrent que les détenteurs de NFT ne connectent jamais leur portefeuille à un tiers inconnu ou non fiable, le fait que le lien de phishing ait été envoyé via le compte de réseau social officiel BAYC a probablement convaincu les victimes qu’il était légitime, soulevant des questions difficiles sur où se situe exactement la faute.

Yuga Labs n’a pas répondu à un e-mail de Le bord demandant si les victimes du piratage seraient indemnisées par le projet pour leurs pertes.

Leave a Comment