Le co-fondateur et PDG d’Opensea, Devin Finzer, a démenti les rumeurs d’une violation de la base de code du marché des jetons non-fongibles (NFT) et des attaquants volant 200 millions de dollars. Selon Finzer, une enquête a révélé que l’attaquant avait 1,7 millions de dollars d’éther dans son portefeuille en exploitant un stratagème de phishing.
Une rumeur de piratage sur Opensea
Après une série de tweets viraux de commerçants NFT paniqués, la grande place de marché OpenSea a déclaré qu’elle enquêtait sur des « rumeurs d’exploitation » concernant des contrats intelligents liés à sa plate-forme, une bogue qui pourrait coûter aux commerçants de précieux jetons.
OpenSea a déclaré sur Twitter aux États-Unis, dans la soirée du 19 février : « Nous enquêtons activement sur les rumeurs d’exploits liés aux contrats intelligents liés à OpenSea. Cela semble être une attaque de phishing provenant de l’extérieur du site Web d’OpenSea. Ne cliquez sur aucun lien en dehors d’opensea.io. »
We are actively investigating rumors of an exploit associated with OpenSea related smart contracts. This appears to be a phishing attack originating outside of OpenSea's website. Do not click links outside of https://t.co/3qvMZjxmDB.
— OpenSea (@opensea) February 20, 2022
En réponse, OpenSea prévoit de réviser ses contrats intelligents (essentiellement le code qui régit sa plateforme de trading) en publiant un tout nouveau contrat vendredi. Le contrat mis à niveau est conçu pour garantir que l’ancienne liste inactive sur la plate-forme finira par expirer.
A voir : Les ventes hebdomadaires des NFT ont plongé de près de 30%.
Finzer rejette la rumeur de l’exploit par une violation de code d’Opensea.
Le co-fondateur et PDG d’Opensea, Devin Finzer, a démenti les informations selon lesquelles le marché NFT aurait été piraté. Finzer a qualifié le piratage présumé d' »attaque de phishing« , qui, selon lui, n’a rien à voir avec le site web d’Opensea. Cependant, il a admis que certains des plus de 30 utilisateurs qui « ont signé des charges utiles malveillantes d’attaquants » se sont fait voler leurs NFT. Finzer n’a pas donné une valeur estimée des NFT volés.
Par ailleurs, un utilisateur de Twitter nommé Whale a suggéré dans un tweet quelques heures après la violation que « plus de 200 millions de dollars ont été perdues ». Un autre utilisateur, Jacob King, a rejeté les allégations de Finzer et Opensea concernant une attaque de phishing. L’utilisateur a affirmé qu' »une faille dans leur code a conduit à l’un des plus grands exploits NFT de l’histoire ».
#OpenSea is now lying and claiming the exploit was actually just phishing emails people were receiving.
This is 100% not true, but rather a flaw in their code which led to one of the largest #NFT exploits in history. pic.twitter.com/qGRq0MaFT1
— Jacob King (@JacobOracle) February 20, 2022
Cependant, dans un message Twitter du 20 février, Finzer a réfuté ces affirmations. Une enquête a en fait montré que les attaquants avaient déjà rendu certains des NFT.
Il a déclaré que : « L’attaque ne semble pas être active pour le moment – nous n’avons constaté aucune activité malveillante sur le compte de l’attaquant depuis 2 heures. Certains NFT ont été remboursés. »
Finzer a également affirmé que l’équipe d’Opensea n’était au courant d’aucun e-mail de phishing récent envoyé aux utilisateurs. Le PDG a déclaré qu’au moment de son message, l’équipe n’avait pas identifié quel site « avait malicieusement trompé les utilisateurs pour qu’ils signent des messages ».
PeckShield, une société de sécurité blockchain qui audite les contrats intelligents, a également déclaré que le soi-disant exploit était « probablement du phishing » – un contrat malveillant caché dans un lien camouflé. La société a cité le même e-mail en masse sur le processus de migration comme source possible du lien.
Bonus : La société de gestion, Amundi, fait son entrée dans le marché de NFT.