Une nouvelle technique pour voler des NFT

La société américaine Yuga Labs à l’origine de la collection de NFT « Bored Ape Yacht Club » (BAYC) a, ces jours-ci, la mine aussi désabusée que celles des singes qui l’ont rendue célèbre. Elle a révélé sur Twitter s’être fait pirater le compte Instagram officiel des BAYC qui a permis au hackeur de voler une centaine de NFT à ses propriétaires. Le tout pour environ trois millions de dollars. 

Un escroc avait pris le contrôle du compte Instagram de BAYC et y avait déposé une annonce de « distribution » de NFT. Mais cette annonce redirigeait ceux qui se sont laissés piéger vers un site internet qui se faisait passer pour celui du Bored Ape Yacht Club. Une fois sur le faux site qu’ils croyaient vrai, les internautes étaient invités à enregistrer leurs portefeuille électronique et à signer une transaction qui en réalité permettait au pirate de leurs voler les NFT contenus dans leur « wallet ». 

Le caractère inédit de cette opération réside moins dans son recours à « l’hameçonnage », une technique qui consiste à tromper les internautes pour les inciter à communiquer leurs données personnelles, que dans le piratage du compte Instagram officiel de BAYC. Le compte était pourtant doublement protégé, affirme Greg Solano, co-fondateur de la société. « Nous avons repris le contrôle de notre compte Instagram et nous enquêtons maintenant sur la manière dont le pirate a eu accès à celui-ci », annonce Greg Solano sur Twitter. 

Pas moins de 139 NFT ont été volés. Dont cinq « Bored Ape Yacht Club », sept « Mutant Ape Yacht Club » et trois « Bored Ape Kennen ». Ces quinze NFT comptent parmi les plus rares. Après avoir mis la main sur cet ensemble, le pirate s’est empressé de les revendre sur la plateforme Open Sea, poursuivie par ailleurs pour des « failles de sécurité » dans son système.