Comment protéger les NFT contre le vol

Étant une interaction "invisible" et numérique, le vol des NFT est beaucoup plus répandu qu'on ne le croit.

Les jetons non fongibles (NFT) sont des actifs numériques uniques et irremplaçables qui, par leur nature, ont une valeur intrinsèque. Il peut s’agir d’art numérique, de photographie, de GIF, d’avatars, de mèmes, d’objets 3D, de noms de domaine, de cartes à collectionner, de terres virtuelles, de musique ou d’autres jetons négociables numériquement. Chacun contient un identifiant distinctif qui permet de les vendre ou de les échanger via la blockchain.

Il y a une tendance qui balaie la communauté blockchain, et c’est inquiétant. Les NFT sont régulièrement visés par la fraude par prise de contrôle de compte et le piratage de compte, y compris sur les collections NFT de premier ordre, comme Bored Ape Yacht Club, CryptoPunks, Decentraland ou NBA Top Shots… En utilisant la fraude par usurpation de compte (ATO), de mauvais acteurs s’approprient des comptes en ligne en utilisant des noms d’utilisateur et des mots de passe volés. Ceux-ci peuvent être acquis via l’achat de listes d’informations d’identification sur le Dark Web, généralement à partir de violations de données, d’ingénierie sociale ou d’attaques de phishing, puis utilisées pour les soumettre en masse (appelées « bourrage d’informations d’identification ») aux formulaires de connexion du site Web pour gagner frauduleusement accès aux comptes utilisateurs. Malgré des décennies de conseils d’experts en sécurité informatique, les utilisateurs réutilisent encore des mots de passe sur plusieurs sites et ne les modifient pas toujours lorsqu’ils sont informés de violations.

Les NFT sont stockés sur la blockchain, mais les NFT sont achetés et gérés dans un portefeuille numérique et via des places de marché utilisées pour le trading. Ce sont des sites comme Rarible, OpenSea qui utilise l’Ethereum (ETH), facturant des frais fixes sur chaque transaction, plus les frais de gaz (le montant d’ETH nécessaire à un utilisateur du réseau blockchain ETH pour effectuer une transaction sur le réseau). Un portefeuille numérique ou un échange de crypto-monnaie n’est pas aussi sûr que les mots de passe et les informations d’identification qui le protègent. Comme les NFT permettent une propriété vérifiable, et avec l’anonymat que la monnaie numérique fournit, une fois qu’une prise de contrôle de compte a eu lieu et qu’un NFT a été transféré vers un autre compte blockchain, les nouveaux propriétaires sont pratiquement introuvables.

Exemple

Même si les exemples ci-dessous ont fait la une des médias et ne sont pas représentatifs du cout moyen d’un NFT à travers une collection, ce qu’il faut retenir c’est que cette industrie attire aussi les hackers de plus en plus performants 🙁 Les attaques sont plus fréquentes à mesure que les NFT deviennent plus populaires, plus faciles à échanger et entrent dans l’air du temps numérique.

Après une attaque de phishing en juin 2022, Seth Green, co-créateur de Robot Chicken et star de la trilogie Family Guy/Austin Powers, s’est fait voler quatre NFT dans son portefeuille crypto. L’un de ces NFT, un jeton Bored Ape unique, devait être la vedette de sa prochaine série qui était déjà en production. Il a été contraint de faire appel via Twitter au nouveau propriétaire, qui semblait l’avoir acheté de bonne foi, ce qui lui a coûté 165 ETH (environ 297 000 USD à l’époque) pour le récupérer. Todd Kramer, propriétaire d’une galerie d’art de Chelsea, s’est fait voler environ 2,3 millions de dollars de NFT par des escrocs en décembre 2021 et les a cotés sur le marché NFT peer-to-peer.

La plate-forme OpenSea a connu d’autres problèmes en février 2022, lorsqu’un attaquant a utilisé une attaque de phishing pour voler deux cent cinquante-quatre jetons en moins de trois heures, totalisant plus de 1,7 million de dollars de bénéfices. En mars 2022, des acteurs malveillants ont utilisé des comptes piratés sur la plate-forme Nifty Gateway pour acheter et vendre des centaines de milliers de dollars de NFT, facturant les cartes de crédit des utilisateurs concernés pour l’essence et les frais de négociation.

Il existe aussi de nombreux cas où des escrocs ouvrent de faux comptes sur des marchés NFT comme OpenSea et vendent des œuvres d’art qui ne leur appartiennent pas. Pour éviter d’acheter des œuvres d’art contrefaites, il est important de faire un contre-interrogatoire approfondi sur les sites officiels, les serveurs Discord et les profils vérifiés sur les places de marché

Prévenir

Le dernier rapport de DappRadar sur l’industrie NFT montre une augmentation de la part de marché des petits marchés NFT et un volume de transactions plus élevé parmi les nouveaux projets NFT, peut-être un signe que les acheteurs et les commerçants craignent d’être la cible d’escroqueries s’ils investissent dans des NFT plus chers. @NFTHerder a tweeté à ses 44 000 abonnés que 22 NFT Discords avaient été piratés au cours des six premiers jours de juin, principalement à la suite d’erreurs évitables commises par les membres de l’équipe NFT et les investisseurs traitant la sécurité après coup. Discord est précieux pour la communauté des NFT, mais il faut éditer des règles précisent et éduquer les utilisateurs.

La prévention de la fraude par usurpation de compte nécessite une détection multicouche basée sur l’intention pour identifier les tentatives d’accès malveillantes et des informations claires et exploitables. Le contexte est essentiel pour une atténuation efficace, et il est essentiel de pouvoir voir clairement quels comptes d’utilisateurs et sites sont attaqués, quelles techniques ont été utilisées et si les informations d’identification sont accessibles au public. Les utilisateurs demandent plus de protection sur le marché et ces bourses doivent rassurer leurs utilisateurs lorsqu’ils effectuent des transactions.

Nous avons une responsabilité personnelle, il nous faut arrêter de réutiliser les mots de passe ! Utiliser des outils de gestion de mots de passe où vous pouvez stocker tous vos mots de passe et toute autre information sensible dont vous pourriez avoir besoin à portée de main. Une chose est sûre, les plates-formes ou exchange, les transactions doivent être sûres et fiables. Les portefeuilles et les plates-formes doivent être sécurisés et sans souci. Les utilisateurs doivent assumer la responsabilité de leurs actifs numériques, mais tout service permettant aux utilisateurs d’acheter, de vendre, de mettre aux enchères ou de créer des NFT sur la blockchain doit démontrer qu’il fait de son mieux pour protéger ses utilisateurs.