Les pirates dans le domaine de la crypto et des NFT débordent d’imagination et développent de nouveaux processus pour voler vos actifs-numériques. Dernièrement, c’est par le biais de la signature d’un message frauduleux qu’un pirate arrive à se fatire passer pour vous auprès de la place de marché OpenSea. Découvrons ensemble les différentes étapes de cette arnaque et comment tenter de s’en prémunir suite au thread de RpGmAx.
Les différentes étapes de l’arnaque avec la signature du message frauduleux
1. Accès à la fausse version d’OpenSea
Tout commence généralement par l’accès à une copie du site en question. Malheureusement, il existe énormément de possibilité de tomber sur ce genre de site :
- Site internet référencés sur les moteurs de recherches
- Message en provenance d’un contact ou sur les réseaux sociaux
- Lien sur un site internet compromis
- Erreur lors de la saisie de l’URL
Après avoir cliqué sur le lien frauduleux (sans vous en rendre compte), vous allez vous retrouver sur un site similaire à OpenSea.
En théorie, si la copie est parfaite, vous ne remarquerez rien d’anormal et vous démarrez le processus de connexion. A partir de ce moment-là, le piège se referme lentement sur vous.
Info : Il existe d’autres plateformes frauduleuses alternatives qui demandent aussi la seed phrase (les 12 mots secrets). Bien évidemment, vous ne devez JAMAIS transmettre vos mots secrets car ils permettent d’importer votre portefeuille sur un autre support et d’en prendre le contrôle total.
De plus, sachez que les plateformes de confiance sont également victimes via le phishing du nom de domaine comme cela pu être le cas de CoinGecko, Etherscan et même PancakeSwap.
2. Connexion de son wallet et signature du message
Une fois sur la fausse plateforme, les interactions sont souvent assez limitées car l’objectif pour le pirate est de vous faire connecter votre portefeuille. Dès lors que vous allez cliquer sur un lien, une fenêtre va s’ouvrir afin de connecter votre wallet.
Généralement, cette fenêtre est classique et vous demande d’accepter les conditions de la plateforme. En cliquant sur le bouton, une nouvelle fenêtre s’ouvre avec le message en question.
Vous allez alors (et malheureusement) signer le message compromis qui va ravager votre portefeuille crypto.
3. Transfert automatique de ses NFTs
A partir de là, il est déjà trop tard et des NFT ont probablement déjà été envoyés vers l’adresse du pirate.
Comment cela est-ce possible ? En réalité, la signature est frauduleuse et permet de se faire passer pour vous auprès d’OpenSea. Dès la signature, le script va interroger l’API de OpenSea et déplacer les NFT sur le wallet du pirate pour lesquels vous avez donné votre autorisation auprès du smart contract (Seaport).
En effet, comme vous avez donné l’autorisation à la plateforme de déplacer vos NFT, c’est elle qui va agir pour réaliser ce changement de propriétaire.
Dans le principe, c’est une usurpation d’identité virtuelle auprès de la plateforme OpenSea grâce à votre signature. La plateforme n’y voit que du feu car tous les outils utilisés lors du transfert sont bien les leurs.
Attention : Un cold wallet comme Ledger, SafePal ou Trezor ne vous protège en aucun cas contre ce type d’attaque car vous signez vous même le message.
Comment se protéger contre cette arnaque
Ce genre de menaces étant toujours plus difficile à repérer, voici quelques règles qui pourraient vous permettre d’éviter le pire.
1. Vérifier les adresses des sites
Par habitude, pensez à jeter un coup d’œil à l’URL sur laquelle vous vous trouvez. Si jamais vous avez un doute par exemple, vous pouvez aller vérifier la validité de cette adresse sur :
- Les réseaux sociaux ;
- D’autres plateformes officielles (CoinGecko, CoinMarketCap, etc).
Plus vous croiserez les sources, plus l’information sera légitime et sûre.
2. Être vigilant avec les messages et les signatures
Si une plateforme vous demande de signer un message, demandez-vous pourquoi et vérifiez le contenu si possible. Il est déjà arrivé que même des sites comme CoinGecko et Etherscan soient victimes de phishing et que des demandes de signatures soient émises directement depuis ces sites.
Vous ne devez pas signer n’importe quoi par habitude.
3. Révoquer dès que possible les autorisations
Que ce soit pour des jetons ou des NFT, une bonne pratique consiste à révoquer les autorisations que vous avez donné. Pour cela, vous pouvez utiliser des applications comme Revoke.cash. Lors de l’utilisation, pensez à cocher la case « Include zero balances » qui permet d’afficher les crypto/NFT que vous n’avez plus sur votre wallet (qui peuvent être en vente).
C’est le genre de pratique à respecter en permanence pour une bonne hygiène numérique.
4. Utiliser des trash wallet (portefeuille poubelle)
Essayez autant que possible de posséder différents portefeuilles avec différents usages. Le premier serait un portefeuille avec lequel vous ne faites aucune interaction et uniquement destiné à du stockage. Cela permet déjà d’éviter de le compromettre via une signature frauduleuse.
Un second type de wallet le burn wallet (portefeuille poubelle), serait lui pour réaliser les interactions (échanges, ventes, achats). A partir d’un certain temps, il est plus prudent de renouveler son portefeuille avec la création d’un nouveau.
5. En cas de doute, parlez-en
En cas de doute et plutôt que de faire des choses que vous ne comprenez pas, demandez. Je le répète souvent mais de nombreuses communautés comme The CryptoMasks sont ouvertes et seraient prêtes à vous aider.
Soyez curieux et posez avant de tomber dans certains pièges et d’engendrer la perte de vos actifs numériques.
Conclusion
Comme vous avez pu le constater à travers ce nouveau type d’attaque de phishing sur OpenSea, les pirates redoublent d’ingéniosité pour arriver à leurs fins. La prouesse permettant de voler vos NFT par le biais d’un simple message est vraiment très ingénieuse et peut poser certaines questions car c’est bel et bien les outils d’OpenSea qui sont utilisés de bout en bout.
Quoi qu’il en soit, vous devez rester le plus prudent possible et faire attention à toutes vos interactions quand on sait qu’une simple erreur lors de la signature peut être fatale.
Depuis 2017, je ne cesse d'explorer l'univers du Bitcoin, de la blockchain des crypto monnaies, des NFT et plus récemment, celui du Web3. Après avoir fondé Au Coin du Bloc en 2021, je met à disposition mes connaissances et tente de vulgariser les aspects obscurs pour rendre abordable et compréhensible cet univers naissant dans lequel je crois fermement.
