Malgré la volatilité continue qui affecte le secteur des actifs numériques, une niche qui a sans aucun doute continué à prospérer est le marché des jetons non fongibles (NFT). Cela est mis en évidence par le fait qu’un nombre croissant d’acteurs majeurs, dont Coca-Cola, Adidas, la Bourse de New York (NYSE) et McDonald’s, entre autres, ont fait leur chemin dans l’écosystème en plein essor du Métavers. Ces derniers mois.

En outre, du fait qu’au cours de la seule année 2021, les ventes mondiales de NFT surmonté à 40 milliards de dollars, de nombreux analystes s’attendent à ce que cette tendance se poursuive à l’avenir. Par exemple, la banque d’investissement américaine Jefferies a récemment haut ses prévisions de capitalisation boursière pour le secteur NFT à plus de 35 milliards de dollars d’ici 2022 et à plus de 80 milliards de dollars d’ici 2025, une projection également reprise par JP Morgan.

Cependant, comme pour tout marché qui croît à un rythme aussi exponentiel, il faut également s’attendre à des problèmes liés à la sécurité. À cet égard, l’important marché de jetons non fongibles (NFT) OpenSea a récemment été victime d’une attaque de phishing qui a eu lieu quelques heures seulement après que la plate-forme a annoncé sa mise à niveau prévue d’une semaine pour supprimer tous les NFT inactifs.

Plonger dans le sujet

Le 18 février, OpenSea a révélé qu’il allait lancer une mise à niveau du contrat intelligent, qui obligerait tous ses utilisateurs à transférer leurs NFT énumérés de la blockchain Ethereum vers un nouveau contrat intelligent. En raison de la mise à niveau, les utilisateurs qui n’ont pas facilité la migration susmentionnée risquaient de perdre leurs anciennes listes inactives.

Cela dit, en raison de la courte fenêtre de migration fournie par OpenSea, les pirates se sont vu offrir une puissante fenêtre d’opportunité. Quelques heures après l’annonce, il a été révélé que des tiers néfastes avaient lancé une campagne de phishing sophistiquée, volant les NFT de nombreux utilisateurs qui étaient stockés sur la plate-forme avant de pouvoir être migrés vers le nouveau contrat intelligent.

Fournissant une ventilation technique de l’affaire, Neeraj Murarka, CTO et co-fondateur de Bluezelle, une blockchain pour l’écosystème GameFi, a déclaré à Cointelegraph qu’au moment de l’incident, OpenSea utilisait un protocole appelé Wyvern, un module technologique standard qui la plupart des applications Web NFT utilisent, car elles permettent la gestion, le stockage et le transfert de ces jetons dans les portefeuilles des utilisateurs.

Parce que le contrat intelligent avec Wyvern permettait aux utilisateurs de travailler avec des NFT stockés dans leurs « portefeuilles », le pirate a pu envoyer des e-mails aux clients d’Opensea se faisant passer pour des représentants de la plateforme, les encourageant à signer des transactions « aveugles ». . Murarka a ajouté :

« Métaphoriquement, c’était comme signer un chèque en blanc. Normalement, cela convient si le bénéficiaire est le destinataire prévu. Veuillez noter que n’importe qui peut envoyer un e-mail, mais il peut sembler avoir été envoyé par quelqu’un d’autre. Dans ce cas, le bénéficiaire semble être un seul pirate qui a pu utiliser ces transactions signées pour transférer et voler efficacement les NFT de ces utilisateurs. »

De plus, dans une tournure des événements intéressante, après l’incident, le pirate informatique a apparemment Revenu certains des NFT volés à leurs propriétaires légitimes, et davantage d’efforts sont déployés pour restituer d’autres actifs perdus. Al brindar su opinión sobre todo el asunto, Alexander Klus, fundador de Creaton, una plataforma de creación de contenido Web3, le dijo a Cointelegraph que la campaña de correo electrónico de phishing usó una transacción de firma maliciosa para aprobar todas las existencias para poder drenarlas à n’importe quel moment. « Nous avons besoin de meilleures normes de signature (EIP-712) afin que les gens puissent réellement voir ce qu’ils font lorsqu’ils approuvent une transaction. »

Enfin, Lior Yaffe, co-fondateur et directeur de Jelurida, une société de logiciels de blockchain, a noté que l’épisode était le résultat direct de la confusion entourant la mise à niveau mal planifiée du contrat intelligent d’OpenSea, ainsi que l’architecture d’approbation des transactions de la plateforme.

Les marchés NFT doivent intensifier leur jeu de sécurité

Du point de vue de Murarka, les applications Web utilisant le système de contrat intelligent Wyvern devraient être complétées par des améliorations de la convivialité pour garantir que les utilisateurs ne tombent pas encore et encore dans de telles attaques de phishing, ajoutant :

« Des avertissements très clairs doivent être émis pour informer l’utilisateur des attaques de phishing et clarifier le fait que les e-mails ne seront jamais envoyés, en demandant à l’utilisateur de prendre des mesures. Les applications Web comme OpenSea devraient adopter un protocole strict pour ne jamais communiquer avec les utilisateurs par e-mail, à part peut-être simplement enregistrer des données. »

Cela dit, il a admis que même si OpenSea devait adopter les protocoles et normes de sécurité/confidentialité les plus sécurisés, il appartient toujours à ses utilisateurs de se renseigner sur ces risques. « Malheureusement, c’est souvent l’application web elle-même qui est responsable, même si c’est l’utilisateur qui a été hameçonné. Qui est responsable? La réponse n’est pas claire », a-t-il dit.

Un sentiment similaire est partagé par Jessie Chan, chef de cabinet de ParallelChain Lab, un écosystème de blockchain décentralisé, qui a déclaré à Cointelegraph que quelle que soit la façon dont l’ensemble de l’attaque a été orchestrée, le problème ne dépend pas entièrement des protocoles de sécurité existants d’OpenSea, mais aussi de sensibilisation des utilisateurs contre le phishing. La question demeure de savoir si l’opérateur de marché aurait dû être en mesure de fournir suffisamment d’informations à ses utilisateurs pour les tenir informés de la manière de faire face à de tels scénarios.

Une autre possibilité d’atténuer tout événement de phishing potentiel consiste à effectuer toutes les interactions entre les utilisateurs et vos applications Web uniquement via l’utilisation d’une interface mobile/de bureau dédiée. « Si toutes les interactions nécessitaient l’utilisation d’une application de bureau, de telles attaques pourraient être entièrement évitées. »

Donnant son avis sur la question, Yaffe a souligné que le principal problème, qui est au cœur de toute cette question, est l’architecture de base de la plupart des marchés NFT, qui permet aux utilisateurs de simplement signer une lettre d’approbation blanche pour un contrat tiers. pour utiliser votre wallet privé sans vous fixer de limite de dépenses :

« Étant donné que l’équipe d’OpenSea n’a pas vraiment découvert la source de l’opération de phishing, cela pourrait très bien se reproduire la prochaine fois qu’elle tentera de modifier son architecture. »

Qu’est ce que l’on peut faire?

Murarka a noté que la meilleure façon d’éliminer la possibilité de ces attaques est que les gens commencent à utiliser des portefeuilles matériels. En effet, la plupart des portefeuilles logiciels, ainsi que d’autres solutions de stockage de conservation, sont trop vulnérables dans leur conception globale et leur perspective opérationnelle. Il a en outre expliqué: « Comme Bitcoin, Ethereum, etc., les NFT eux-mêmes devraient être déplacés vers des comptes de portefeuille matériels plutôt que laissés sur une plate-forme centralisée », ajoutant:

« Les utilisateurs doivent être très conscients des risques de répondre et d’agir sur les e-mails qu’ils reçoivent. Les e-mails peuvent être usurpés très facilement et les utilisateurs doivent être proactifs quant à la sécurité de leurs actifs cryptographiques. »

Une autre chose que les propriétaires de NFT doivent retenir est de ne visiter que les applications Web qui utilisent des protocoles de sécurité de haute qualité, en vérifiant que les marchés auxquels ils accèdent utilisent le mécanisme HTTPS (au minimum) alors qu’ils peuvent clairement voir un symbole de cadenas en haut à gauche de votre fenêtre du navigateur, qui pointe correctement vers l’entreprise souhaitée, tout en visitant n’importe quelle page Web.

Yaffe estime que les utilisateurs doivent faire attention aux approbations de contrats et conserver un enregistrement précis des contrats qu’ils ont approuvés dans le passé. « Les utilisateurs doivent révoquer les approbations inutiles ou non sécurisées. Si possible, les utilisateurs doivent spécifier une limite de dépenses raisonnable pour chaque approbation de contrat. »

En relation: Cointelegraph s’associe à Nitro Network pour apporter l’exploitation minière numérique et l’Internet décentralisé aux masses

Enfin, Chan pense que dans un scénario idéal, les utilisateurs devraient conserver leurs portefeuilles sur une plate-forme dédiée qu’ils n’utilisent pas pour lire les e-mails ou naviguer sur le Web, ajoutant que ces avenues sont sujettes à toutes sortes d’attaques de tiers. Il a ajouté :

« C’est gênant, mais lorsqu’il s’agit d’actifs de grande valeur et lorsqu’il n’y a aucun recours en cas de vol, une extrême prudence s’impose. Et, comme dans toutes les transactions financières, ils doivent être très prudents lorsqu’ils décident avec qui traiter, car les contreparties peuvent également voler leurs actifs et disparaître.

Ainsi, alors qu’il évolue vers un avenir propulsé par les NFT et d’autres offres numériques innovantes, il reste à voir comment les plates-formes opérant dans cet espace continuent d’évoluer et de mûrir, d’autant plus qu’une quantité croissante de capitaux continue d’affluer sur le marché. NFT.