NFT : La faille de cybersécurité qui pourrait coûter cher à OpenSea

ven 15 Oct 2021 ▪ 17h30 ▪ 4 min de lecture - par Jean-Louis Lefevre

Check Point, une société de recherche en cybersécurité, a découvert un problème critique dans la plateforme qui met de nombreux membres d’OpenSea à risque. Heureusement, OpenSea est consciente de la vulnérabilité et travaille à résoudre les failles de sécurité.

La popularité des NFT

Les tokens non fongibles font toujours l’objet de discussions dans le monde crypto : Bored Apes, CryptoPunks et d’autres NFT populaires se vendent pour des milliers et, dans certains cas, des millions de dollars. Que vous soyez le créateur de NFT ou l’acheteur, vous avez probablement échangé des tokens non fongibles sur l’une des plus grandes plateformes du marché NFT, par exemple, OpenSea. Cependant, pour sa popularité, il faut payer. Il attire des hackers crypto qui cherchent à voler les soumissionnaires vulnérables.

Failles de sécurité critiques d’OpenSea

OpenSea permet aux utilisateurs de miner toutes les œuvres d’art numériques NFT à condition qu’ils aient l’une des extensions suivantes : JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF. Il convient également de noter que pour acheter et vendre NFT sur OpenSea, les membres doivent connecter un portefeuille de cryptomonnaie (par exemple, Metamask) à la plateforme. Les utilisateurs doivent réapprovisionner leur portefeuille avec des cryptomonnaies (généralement Ethereum) pour payer des NFT et/ou des frais de gaz.

Selon laptopmag.com, pour tester la sécurité du réseau d’OpenSea, l’équipe Check Point Research a agi en tant que hacker et a injecté du code malveillant dans une image SVG destinée à inciter les victimes sans méfiance à abandonner leurs portefeuilles de cryptomonnaie. Comme le montre la vidéo, les « intrus » ont réussi.

Heureusement, cette opportunité n’existe plus sur le marché NFT. « OpenSea et Check Point, en collaboration, ont corrigé cette lacune », indique le rapport. 

Comment les intrus ont agi

Avant la correction du défaut de sécurité, des spécialistes de Check Point ont noté que les hackers pourraient voler des cryptomonnaies, en incitant les victimes à cliquer sur les fausses fenêtres de l’approbation d’un portefeuille après le passage sur l’un des liens de tierces personnes. Pour ceux qui ne le savent pas : avant d’acheter (ou miner) des NFT sur OpenSea, Metamask lance la fenêtre de l’approbation d’un portefeuille en vous proposant d’autoriser (ou de rejeter) la transaction. C’est un algorithme normal. Cependant, si, après avoir cliqué sur un lien tiers, vous voyez une fenêtre de portefeuille dans laquelle vous êtes accidentellement invité à entrer vos informations d’identification, cela signifie que quelque chose s’est mal passé et vous devriez y réfléchir.

« OpenSea ne demande pas l’approbation du portefeuille pour afficher ou cliquer sur des liens de tiers. Ce comportement est extrêmement suspect et les utilisateurs ne doivent pas confirmer leur portefeuille s’ils ne sont pas liés à des activités spécifiques sur OpenSea », signale le rapport.

Les enquêteurs de Check Point ont averti que les acheteurs et les vendeurs de NFT sur OpenSea devraient être prudents lors de l’interaction avec leurs portefeuilles de cryptomonnaies. Il est facile d’approuver automatiquement les transactions, et ne pas remarquer le piège. Il est donc important d’examiner attentivement la demande et de déterminer de qui elle provient. « En cas de doute, la demande doit être rejetée », conseille le rapport.

Le phishing n’est pas le seul moyen par lequel les hackers tentent de voler les actifs virtuels des victimes. Par conséquent, avant de plonger dans le sujet, nous vous conseillons de lire des documents sur les astuces utilisées par les hackers, d’étudier la théorie et de commencer à l’appliquer.

Jean-Louis Lefevre

Je suis convaincu que les cryptomonnaies nous ouvrent des perspectives inédites extraordinaires que je ne veux rater sous aucun prétexte ! J’essaie d’enrichir en permanence mes compétences en la matière et de partager avec vous tout ce que j’apprend avec mes followers et mes heures passées à explorer cet univers.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.