Comment les escrocs exploitent les NFT ?

Les cryptomonnaies ont toujours été en proie à des escrocs près à saisir la moindre opportunité, en passant par ceux qui proposent des cadeaux sur Twitter à ceux qui offrent gratuitement des jetons comme appâts, à ceux qui volent tout simplement tout vos jetons si vous essayez de les déplacer.

Maintenant, avec les NFT qui se vendent comme des petits pains, les bonimenteurs ont changé de tactique pour exploiter ce marché en pleine croissance – et leurs efforts semblent porter leurs fruits.

Ils cherchent à accéder à vos portefeuilles et aux jetons qui y sont détenus de deux manières principales.

Faire semblant de fournir des services de soutien

Une tactique clé a été de prétendre fournir des services d’assistance au nom du marché NFT OpenSea.

Cette technique est efficace car il y a tellement de problèmes avec les NFT, allant de la vérification si une collection est officielle ou non, avec les NFT n’apparaissant pas dans les portefeuilles, ou parfois ils apparaissent avec des attributs incorrects. Ces types de problèmes nécessitent de l’aide et, par conséquent, les acheteurs confus cherchent l’aide de l’émetteur de NFT ou du marché avec lequel ils traitent.

Ce qui se passe, c’est généralement que l’acheteur NFT demandera de l’aide sur la plate-forme de messagerie Discord, qui est devenue la plaque tournante de l’activité et des conversations NFT.

Le problème est qu’il est trivial pour quelqu’un de créer un compte nommé « OpenSea Support » ou équivalent et de traîner dans ces groupes de discussion. Lorsque quelqu’un mentionne ses problèmes, le faux service d’assistance le contacte via un message direct proposant de l’aider.

Une tactique plutôt efficace impliquait le portefeuille MetaMask. L’escroc inviterait l’utilisateur à partager son écran et le dirigerait vers une certaine partie du portefeuille conçue pour connecter votre portefeuille sur différents appareils. En faisant cela, l’escroc configurerait le portefeuille sur son propre appareil, obtenant ainsi un accès complet aux fonds de l’utilisateur.

Depuis que l’astuce est connue, MetaMask a temporairement désactivé cette fonction.

Ce problème précis est arrivé à Jeff Nicholas, directeur créatif chez Authentic AI. Dans un fil de discussion sur Twitter, il a décrit comment il s’était rendu sur OpenSea Discord à la recherche d’aide et avait fini par se faire cajoler dans un DM par un escroc avec « OpenSea » comme nom. Il a fini par montrer le code QR qui permet de transférer le compte vers un autre appareil, puis il a commencé à remarquer que son portefeuille se vidait.

Ils ont tout transféré. Tous les singes, les chiens, le chat, les parachutages, tous les ETH […] Ils sont également dans mon autre compte, alors j’entre et j’essaie de récupérer autant que possible, en les transférant vers un autre portefeuille avant que tout ne disparaisse. Je reçois quelques NFT, quelques jetons.

Bien que cette partie de l’attaque puisse ne plus fonctionner pour MetaMask, l’essentiel à savoir est que les comptes de support dans Discord peuvent être faux – et ils utiliseront n’importe quelle astuce pour voler vos fonds.

Capitaliser sur la confusion autour de la Mint NFT

Non seulement les escrocs ciblent les NFT, mais ils se concentrent également spécifiquement sur les bonbons à la menthe – conscients qu’ils sont le moment idéal pour prendre les gens au dépourvu.

Lorsque les NFT sont lancés, une date et une heure publique sont annoncées à l’avance. À ce stade, le site Web fournira un bouton « mint » et tout le monde peut payer pour créer l’un des 10 000 NFT, par exemple. Si la Mint est très demandée, elle peut se vendre en quelques minutes, voire quelques secondes. Cela peut rendre le moment incroyablement stressant, en particulier lorsque la Mint ne se déroule pas tout à fait comme prévu, comme cela arrive souvent. Cela peut également conduire à beaucoup de confusion – et c’est à ce moment-là que les escrocs en profitent.

Juste avant la Mint, les acheteurs potentiels de NFT vont chercher où cela se produira et les détails clés. Pendant ce temps, s’il y a des problèmes, ils vont chercher des réponses et des solutions. Ils seront généralement assis dans le chat général principal du canal Discord concerné.

Une méthode consiste à prétendre fournir un service de frappe. L’escroc dira que la monnaie a mal tourné et que le seul moyen d’obtenir un NFT est d’envoyer de la crypto-monnaie à l’adresse de portefeuille qu’il fournit.

Un autre exemple est lorsque les escrocs publient de faux liens, en espérant que les gens ne le remarqueront pas. Une tactique consiste à publier un lien vers un site Web affirmant que c’est là que la chute aura lieu. Il ressemblera au site officiel, mais il traitera probablement tous leurs NFT à partir de leur portefeuille.

Cette tactique particulière a affecté l’analyste de recherche Messari Chase Devans, qui a utilisé un lien que son ami a vu dans Discord et lui a donné. Lorsqu’il a essayé de frapper un NFT sur le site, il a pris 15 000 $ en solana (SOL) de son portefeuille et de tous ses NFT.

Il a tweeté :

Je me suis déjà fait rekt. Shitcoins, les cascades du 19 mai, vous l’appelez. Celui-ci fait mal différemment cependant. J’avais affiné mon métier et constitué une pile solide sur SOL basée sur les principes fondamentaux. Tout est parti en un instant, pouf.

De telles tactiques ont été très efficaces sur les NFT pour le projet Aurory basé sur Solana. Un portefeuille s’est retrouvé avec 1,5 million de dollars et 350 NFT, dont certains ont ensuite été gelés. Comme il y avait un bogue dans le contrat de Mint qui a vu les NFT se vendre pour 1 SOL au lieu de 5 SOL, cet escroc a fini par gagner encore plus d’argent que les émetteurs de NFT.

Un aspect pertinent ici est que le populaire portefeuille Solana Phantom avait une fonction d’approbation automatique qui approuverait toute transaction à partir d’un site Web approuvé (conçue pour accélérer la fabrication). Mais cela pourrait permettre au site Web d’approuver diverses autres transactions, mettant potentiellement vos NFT en danger. Phantom a déclaré qu’il supprimait cette fonctionnalité.

Le principal conseil ici est de vérifier que vous utilisez des liens officiels, qui peuvent généralement être trouvés dans le canal FAQ du projet – et de n’utiliser aucun lien fourni dans un canal ouvert. De plus, il est recommandé de configurer un portefeuille séparé à utiliser pour chaque Mint, afin que vous ne puissiez pas perdre plus que ce qui est contenu dans ce portefeuille.

Réussir son investissement, c'est avant tout bien s'informer !