Le Discord officiel d’OpenSea a été compromis par une attaque de phishing.

Vers 4h30 ET le Vendredi 6 Mai, le canal Discord officiel d’OpenSea (la plus grande place de marché NFT du monde) a rejoint la liste croissante des communautés NFT qui ont exposé les participants à des attaques de phishing qui a permis de voler au moins 18 000 $ de NFT.

Une attaque par le biais d’un message d’un bot discord

Un robot du discord a fait une fausse annonce sur le partenariat entre OpenSea et YouTube, incitant les utilisateurs à cliquer sur un lien « YouTube Genesis Mint Pass » pour obtenir l’un des 100 NFT gratuits d’une « utilité folle » avant qu’ils ne disparaissent à jamais, ainsi que quelques messages de suivi.

La société de suivi de la sécurité de la blockchain PeckShield a marqué l’URL liée par les attaquants, « youtubenft[.]art », comme un site de phishing, qui est maintenant indisponible.

Bien que les messages et le site d’hameçonnage aient déjà disparu, une personne ayant déclaré avoir perdu des NFT lors de l’incident a indiqué que cette adresse sur la blockchain appartenait à l’attaquant, ce qui nous permet d’en savoir plus sur ce qui s’est passé ensuite.

Ce profil a été bloqué sur le site d’OpenSea, mais sa consultation via Etherscan.io ou une place de marché NFT concurrente, Rarible, montre que 13 NFT lui ont été transférés depuis cinq sources au moment de l’attaque. Ils sont maintenant également signalés sur OpenSea pour « activité suspecte ». Mais d’après leurs prix lors de la dernière vente, ils semblent valoir un peu plus de 18 000 dollars.

Des attaques de fishing de plus en plus courantes

Ce type d’attaque intermédiaire, dans laquelle les escrocs exploitent les négociants NFT qui cherchent à tirer profit des « airdrops », est devenu courant pour les organisations Web3 de premier plan.

Il n’est pas rare que des annonces surgissent de nulle part, et la nature de la blockchain peut donner à certains utilisateurs des raisons de cliquer d’abord et de considérer les conséquences plus tard.

@Istock

Dans une déclaration, Allie Mack, porte-parole d’OpenSea, a confirmé l’incident : « La nuit dernière, un attaquant a pu poster des liens malveillants dans plusieurs de nos canaux Discord. Nous avons remarqué les liens malveillants peu après leur publication et avons pris des mesures immédiates pour remédier à la situation, notamment en supprimant les bots et les comptes malveillants. Nous avons également alerté notre communauté via notre canal de support Twitter pour qu’elle ne clique sur aucun lien dans notre Discord. Nous n’avons pas vu de nouveaux posts malveillants depuis 4h30 ET. »

« Nous continuons à enquêter activement sur cette attaque, et nous tiendrons notre communauté informée de toute nouvelle information pertinente. Notre analyse préliminaire indique que l’attaque a eu un impact limité. Nous avons actuellement connaissance de moins de 10 portefeuilles impactés et d’objets volés pour un montant inférieur à 10 ETH« , déclare Mack.

Le piratage de Discord est la nouvelle menace pour les acheteurs de NFT.

OpenSea n’a pas fait de déclaration sur la façon dont le canal a été piraté, mais un point d’entrée pour ce style d’attaque est la fonction de webhooks que les organisations utilisent souvent pour contrôler les bots dans leurs canaux pour faire des posts. Si un pirate obtient un accès ou compromet le compte d’une personne autorisée, il peut l’utiliser pour envoyer un message et/ou une URL qui semble provenir d’une source officielle.

Parmi les attaques récentes, on peut citer celle qui a permis de voler pour 800 000 dollars de NFT sur le Discord « Rare Bears », et le Bored Ape Yacht Club a annoncé que son canal avait été compromis le 1er avril. Le 25 avril, l’Instagram du BAYC a servi de canal pour un vol similaire qui a permis de dérober plus d’un million de dollars de NFT, et cela en envoyant simplement un lien de phishing.