Dans la nuit dernière, le compte X (anciennement Twitter) du co-fondateur d’Ethereum, Vitalik Buterin, a été piraté et utilisé pour voler 700 000 $ en crypto et NFTs.
phishing | Une tentative d’arnaque avec un NFT commémoratif
Lorsque le compte a été piraté, il a été utilisé pour promouvoir la vente d’un faux NFT commémoratif qui était soi-disant limité dans le temps, encourageant les utilisateurs à l’acheter rapidement. Cependant, le lien conduisait vers un site de phishing qui volait les crypto-monnaies et les NFT des portefeuilles qui s’y connectaient.
Selon les estimations du détective de crypto-monnaies ZachXBT et des données de la blockchain, environ 700 000 $ en crypto-monnaies et NFTs ont été perdus. Cela inclut un NFT CryptoPunk d’une valeur de 153 ETH (250 000 $) et des centaines d’ETH provenant de plusieurs personnes. La plupart des NFT ont été vendus et une grande partie du produit de l’attaque est restée dans le portefeuille du pirate.
Le monde obscur des logiciels NFT drainers
Il semble que le pirate ait utilisé le logiciel populaire Pink drainer pour mener cette attaque, selon les interactions enregistrées sur la blockchain entre le portefeuille de l’attaquant et un portefeuille identifié par l’explorateur de portefeuilles crypto Zapper comme appartenant à Pink. Comme l’a rapporté The Block, il existe un monde souterrain de personnes malintentionnées qui créent et vendent des logiciels de pompage de NFT à ceux qui souhaitent mener des attaques de phishing. Habituellement, ceux qui achètent le logiciel reversent une partie des récompenses au créateur du logiciel. Dans certains cas, le créateur lui-même mène les attaques en utilisant son propre logiciel.
Bien que Pink soit un outil relativement récent, il a été largement utilisé pour plusieurs grandes attaques de phishing au cours de cette année. Cela inclut des attaques sur les serveurs Discord d’Orbiter Finance, LiFi, Flare et Evmos, ainsi que le compte Twitter de Steve Aoki et d’autres.
phishing | Les mesures de prévention contre les attaques de phishing
Ceux qui mènent ces attaques se font souvent passer pour des journalistes, prétendant être associés à des organisations médiatiques sur la crypto. L’une des tactiques utilisées consiste à encourager la victime à enregistrer un document dans son navigateur, ce qui permet au code malveillant de s’implanter.
Une façon de lutter contre de telles attaques est de conserver les NFTs de valeur et de grosses sommes de crypto-monnaies dans des dispositifs de stockage à froid, plutôt que dans des portefeuilles en ligne. De plus, des outils émergents comme Delegate Cash permettent aux propriétaires de NFT de déléguer leurs droits à d’autres portefeuilles, leur permettant ainsi d’accéder aux communautés exclusives de NFT – comme les serveurs Discord – sans avoir à se connecter régulièrement avec le portefeuille réellement détenteur du NFT.
Le piratage du compte de Vitalik Buterin est le dernier d’une série d’attaques de phishing qui ont été menées sur X au cours des dernières années. De nombreuses personnalités du monde de la crypto-monnaie et des entreprises renommées ont été ciblées, dont le projet Azuki NFT et la Fondation Aptos.