Nouveau vol de NFT sur OpenSea avec la signature d’un message

Vol NFT OpenSea message

Les pirates dans le domaine de la crypto et des NFT débordent d’imagination et développent de nouveaux processus pour voler vos actifs-numériques. Dernièrement, c’est par le biais de la signature d’un message frauduleux qu’un pirate arrive à se fatire passer pour vous auprès de la place de marché OpenSea. Découvrons ensemble les différentes étapes de cette arnaque et comment tenter de s’en prémunir suite au thread de RpGmAx.

Les différentes étapes de l’arnaque avec la signature du message frauduleux

1. Accès à la fausse version d’OpenSea

Tout commence généralement par l’accès à une copie du site en question. Malheureusement, il existe énormément de possibilité de tomber sur ce genre de site :

  • Site internet référencés sur les moteurs de recherches
  • Message en provenance d’un contact ou sur les réseaux sociaux
  • Lien sur un site internet compromis
  • Erreur lors de la saisie de l’URL
Recherche OpenSea Github
Exemple d’un site OpenSea frauduleux sur le moteur de recherche bing

Après avoir cliqué sur le lien frauduleux (sans vous en rendre compte), vous allez vous retrouver sur un site similaire à OpenSea.

Faux OpenSea
Exemple d’un site frauduleux qui représente la plateforme de marché OpenSea

En théorie, si la copie est parfaite, vous ne remarquerez rien d’anormal et vous démarrez le processus de connexion. A partir de ce moment-là, le piège se referme lentement sur vous.

Info : Il existe d’autres plateformes frauduleuses alternatives qui demandent aussi la seed phrase (les 12 mots secrets). Bien évidemment, vous ne devez JAMAIS transmettre vos mots secrets car ils permettent d’importer votre portefeuille sur un autre support et d’en prendre le contrôle total.

Demande seed Metamask
Exemple d’une plateforme frauduleuse qui demande de saisir votre seed phrase

De plus, sachez que les plateformes de confiance sont également victimes via le phishing du nom de domaine comme cela pu être le cas de CoinGecko, Etherscan et même PancakeSwap.

2. Connexion de son wallet et signature du message

Une fois sur la fausse plateforme, les interactions sont souvent assez limitées car l’objectif pour le pirate est de vous faire connecter votre portefeuille. Dès lors que vous allez cliquer sur un lien, une fenêtre va s’ouvrir afin de connecter votre wallet.

Connexion wallet Opensea Metamask
Demande d’acceptation des termes et signature d’un message

Généralement, cette fenêtre est classique et vous demande d’accepter les conditions de la plateforme. En cliquant sur le bouton, une nouvelle fenêtre s’ouvre avec le message en question.

Signature message wallet OpenSea
Demande de signature de la part d’une plateforme frauduleuse à OpenSea

Vous allez alors (et malheureusement) signer le message compromis qui va ravager votre portefeuille crypto.

3. Transfert automatique de ses NFTs

A partir de là, il est déjà trop tard et des NFT ont probablement déjà été envoyés vers l’adresse du pirate.

Transfert NFT arnaque
Transaction de transfert automatique d’un NFT vers le wallet du pirate

Comment cela est-ce possible ? En réalité, la signature est frauduleuse et permet de se faire passer pour vous auprès d’OpenSea. Dès la signature, le script va interroger l’API de OpenSea et déplacer les NFT sur le wallet du pirate pour lesquels vous avez donné votre autorisation auprès du smart contract (Seaport).

En effet, comme vous avez donné l’autorisation à la plateforme de déplacer vos NFT, c’est elle qui va agir pour réaliser ce changement de propriétaire.

Dans le principe, c’est une usurpation d’identité virtuelle auprès de la plateforme OpenSea grâce à votre signature. La plateforme n’y voit que du feu car tous les outils utilisés lors du transfert sont bien les leurs.

Attention : Un cold wallet comme Ledger, SafePal ou Trezor ne vous protège en aucun cas contre ce type d’attaque car vous signez vous même le message.

Comment se protéger contre cette arnaque

Ce genre de menaces étant toujours plus difficile à repérer, voici quelques règles qui pourraient vous permettre d’éviter le pire.

1. Vérifier les adresses des sites

Par habitude, pensez à jeter un coup d’œil à l’URL sur laquelle vous vous trouvez. Si jamais vous avez un doute par exemple, vous pouvez aller vérifier la validité de cette adresse sur :

  • Les réseaux sociaux ;
  • D’autres plateformes officielles (CoinGecko, CoinMarketCap, etc).

Plus vous croiserez les sources, plus l’information sera légitime et sûre.

2. Être vigilant avec les messages et les signatures

Si une plateforme vous demande de signer un message, demandez-vous pourquoi et vérifiez le contenu si possible. Il est déjà arrivé que même des sites comme CoinGecko et Etherscan soient victimes de phishing et que des demandes de signatures soient émises directement depuis ces sites.

Vous ne devez pas signer n’importe quoi par habitude.

3. Révoquer dès que possible les autorisations

Que ce soit pour des jetons ou des NFT, une bonne pratique consiste à révoquer les autorisations que vous avez donné. Pour cela, vous pouvez utiliser des applications comme Revoke.cash. Lors de l’utilisation, pensez à cocher la case « Include zero balances » qui permet d’afficher les crypto/NFT que vous n’avez plus sur votre wallet (qui peuvent être en vente).

Révoquer autorisation NFT
Exemple d’un portefeuille crypto avec des autorisations actives

C’est le genre de pratique à respecter en permanence pour une bonne hygiène numérique.

4. Utiliser des trash wallet (portefeuille poubelle)

Essayez autant que possible de posséder différents portefeuilles avec différents usages. Le premier serait un portefeuille avec lequel vous ne faites aucune interaction et uniquement destiné à du stockage. Cela permet déjà d’éviter de le compromettre via une signature frauduleuse.

Un second type de wallet le burn wallet (portefeuille poubelle), serait lui pour réaliser les interactions (échanges, ventes, achats). A partir d’un certain temps, il est plus prudent de renouveler son portefeuille avec la création d’un nouveau.

5. En cas de doute, parlez-en

En cas de doute et plutôt que de faire des choses que vous ne comprenez pas, demandez. Je le répète souvent mais de nombreuses communautés comme The CryptoMasks sont ouvertes et seraient prêtes à vous aider.

Soyez curieux et posez avant de tomber dans certains pièges et d’engendrer la perte de vos actifs numériques.

Conclusion

Comme vous avez pu le constater à travers ce nouveau type d’attaque de phishing sur OpenSea, les pirates redoublent d’ingéniosité pour arriver à leurs fins. La prouesse permettant de voler vos NFT par le biais d’un simple message est vraiment très ingénieuse et peut poser certaines questions car c’est bel et bien les outils d’OpenSea qui sont utilisés de bout en bout.

Quoi qu’il en soit, vous devez rester le plus prudent possible et faire attention à toutes vos interactions quand on sait qu’une simple erreur lors de la signature peut être fatale.

Partager l'article sur les réseaux sociaux

Auteur

Depuis 2017, je ne cesse d'explorer l'univers du Bitcoin, de la blockchain des crypto monnaies, des NFT et plus récemment, celui du Web3. Après avoir fondé Au Coin du Bloc en 2021, je met à disposition mes connaissances et tente de vulgariser les aspects obscurs pour rendre abordable et compréhensible cet univers naissant dans lequel je crois fermement.

Articles similaires