A hacker a volé des NFT Bored Ape d’une valeur de 3 millions de dollars

The compte Instagram officiel du Bored Ape Yacht Club at été piraté

The Bored Ape Yacht Club (BAYC), l’une des collections de tokens non fongibles (NFT) les plus populaires du marché, vient d’être victim d’un piratage de grande ampleur. Dans un thread publié sur Twitter ce lundi 25 avril 2022, Yuga Labs, la société à l’igine du projet, explique comment un attaquant est parvenu à want a total of 133 NFTdont plusieurs singes de la collection Bored Ape.

The hackers at the origin of l’attaque s’est d’abord approprié le contrôle du compte Instagram officiel du projet. In a second temps, “The pirates in publié un lien frauduleux vers une copies du website du BAYC avec un faux Airdrop”.

L’attaquant promettait d ‘offer des terrains virtuels dans le metaverse aux internautes. Pour endormir les soupçons de ses cibles of him, the hackers s’est appuyé sur la veritable feuille de route dévoilée par Yuga Labs. The créateurs des Bored Ape prévoient en effet la vente de 200 000 parcelles de terrain in a nouveau monde virtuel appelé MetaRPG.

Le lien encourageait les internautes à connecter leur wallet numérique Metamask et à valid une transaction. En signant cette transaction, les victimes ont donné the authorization au pirate de s’emparer de leurs tokens non fongibles. Les NFT volés ont été transférés sur le wallet de l’escroc.

Parmi les Bored Ape subtilisés lors du hack, on trouve 4 Bored Ape, six Mutant Ape, un CloneX et trois Bored Ape Kennel Club NFT. La valeur des tokens non fongibles volés est estimée autour des 3 millions of dollarsannounces Yuga Labs in a communiqué relayé par plusieurs medias, dont ZDNet.

D’après Molly White, engineer responsible for the Web3 project is Going Great, 44 internautes sont tombés dans le piège. Les créateurs de la collection Bored Ape Yacht Club demandent aux usagers lésés de take contact avec eux:

«Si vous avez été affecté par le piratage ou si vous avez des informations qui pourraient être utiles, contactez ighack@yugalabs.io. Vous devez d’abord nous contacter, nous n’allons pas initier le contact “.

👉 Plus information on the metaverse and the univers virtuels

Le pirate a exploité une faille de sécurité du Web2

Une fois que Yuga Labs s’est rendu compte du hack, des mesures ont été prises. The start-up a rapidement alerté sa communauté, supprimé les liens relayant vers le compte Instagram et a tout fait pour reprise le contrôle du compte. Les créateurs des Bored Ape affirment que double facteur authentication était activée sur le compte:

«Au moment du piratage, authentication à deux facteurs était activée […]. Nous avons repris le contrôle du compte et inquêtons sur la façon dont le pirate a obtenu accès “.

D’après Paul Walsh, expert in secure informatique and PDG of the signature of cybersecurité MetaCert, the pirates s’est appuyé sur « une attaque de phishing par reverse proxy “. Dans un billet sur Médium, l’expert explique que ce type d’attaque permet à la fois d’obtenir les informations d’identification, comme le nom et le mot de passe, et the authentication queues envoyé par Instagram par mail or par SMS. The précise:

“Je soupçonne que c’est ce qui est arrived à un membre de l’équipe du Bored Ape Yacht Club. Cette attaque est impossible à empêcher car la sécurité traditionnelle du réseau, du cloud et des terminux repose sur la tâche impossible de détecter des millions de nouvelles URL malveillantes créées par des criminels chaque mois ».

De facto, the pirates to exploité a faille de security of the infrastructure of the Web2 pour s’emparer d’actifs numériques du Web3. The blockchain and the technology of the NFT are not responsible for the vol des actifs numériques. En l’occurrence, la faille n’a rien à avoir avec le Web3.

Il n’est pas rare que ce soit des services du Web2 qui mettent en danger les utilisateurs du Web3. Début du mois d’avril, le serveur Discord du Bored Ape Yacht Club a d’ailleurs été piraté. L’attaquant ya déployé un lien de phishing avant que Yuga Labs reprenne le contrôle du serveur. A seul NFT a été dérobé dans the operation.

👉 Sur le même sujet – Lancement de l’ApeCoin (APE), the cryptomonnaie du Bored Ape Yacht Club

Newsletter 🍞

Recevez un récapitulatif de l’actualité crypto chaque dimanche 👌 Et c’est tout.

Sources: TwitterZdnet, Web3 is Great, Medium

A propos de l’auteur: Florian Bayard

Leave a Reply

Your email address will not be published.