NFT : comment des ados ont dérobé des millions de dollars


 

NFT : comment des ados ont dérobé des millions de dollars

Des adolescents amassent une véritable fortune en s’attaquant aux collections de NFT. En prenant le contrôle du serveur Discord d’un projet, ces apprentis pirates peuvent aisément piéger les investisseurs… et s’emparer d’une montagne d’actifs numériques. Les lycéens dilapident ensuite leur butin, notamment dans des jeux vidéo.

Des adolescents ont orchestré une série d’attaques sur des serveurs Discord consacrés à des collections de tokens non fongibles (NFT), révèle The Block. Le mode opératoire des pirates consiste à prendre le contrôle du serveur à l’aide d’un fichier compromis. Une fois que c’est fait, les hackers excluent les administrateurs du serveur. Ils publient alors une annonce pour un airdrop, c’est-à-dire une distribution gratuite de NFT. Ces événements, très fréquents dans le milieu des cryptomonnaies et des œuvres numériques, permettent aux investisseurs de se bâtir un portefeuille sans devoir investir leurs capitaux.

À lire aussi : Les Schtroumpfs se lancent dans les NFT… pour sauver la planète

La tactique des voleurs de NFT

En l’occurrence, les pirates n’offrent évidemment pas d’actifs numériques. Au contraire, ils récupèrent tous les biens détenus par les utilisateurs Discord qui tombent dans le piège. Ils relaient tout simplement leurs victimes sur des sites de phishing, conçus pour aspirer leurs identifiants et clés privées. Les attaquants n’ont alors plus qu’à se servir.

Le mois dernier, Orbiter Finance, un protocole de la finance décentralisée, a été victime d’une offensive analogue. Un journaliste a contacté l’un des administrateurs du serveur Discord avec un formulaire. Ce formulaire contenait un fichier malveillant permettant de prendre le contrôle complet du serveur. Avec les accès, les pirates ont pu piéger une grande partie des usagers. Au total, un million de dollars de NFT et de cryptomonnaies a été dérobé lors de l’opération. Orbiter Finance s’est promptement engagé à « faire de son mieux pour indemniser les pertes » et « annoncera sous peu les détails du processus de remboursement ».

Ce mode opératoire est loin d’être rare. Plusieurs projets d’envergure ont été visés par des assauts identiques au cours des dernières années. C’est le cas de Yuga Labs, la start-up derrière les singes du Bored Ape Yacht Club. En avril 2022, le compte Instagram de la collection a été piraté. Apparemment, le pirate a contourné l’authentification à deux facteurs mise en place par le réseau social. Il a rapidement publié une annonce pour une fausse distribution de terrains virtuels dans le métavers. Les victimes se sont retrouvées sur un site de phishing… et dépouillées de leurs NFT.

En général, ce sont surtout les serveurs Discord, incontournables dans le monde des tokens non fongibles, qui se retrouvent dans le collimateur des pirates. D’après l’enquête menée par OKHotshot, un analyste spécialisé dans les NFT, plus de 900 serveurs Discord sont tombés sous la coupe de criminels depuis décembre 2021, quand le marché baissier s’est progressivement installé.

95 % de lycéens

Selon Plum, un chercheur en sécurité informatique dont la véritable identité est inconnue, la plupart des attaquants sont des lycéens. L’expert, recruté dans l’équipe de sécurité de la plate-forme OpenSea, révèle même avoir échangé avec plusieurs des pirates au fil du temps :

« 95 % d’entre eux sont des enfants de moins de 18 ans et ils sont encore au lycée. J’ai personnellement parlé à un certain nombre d’entre eux et je sais qu’ils sont toujours à l’école. J’ai vu des photos et des vidéos de divers d’entre eux dans leurs écoles. Ils parlent de leurs enseignants, de la façon dont ils échouent à leurs cours ou de la façon dont ils doivent faire leurs devoirs ».

C’est d’ailleurs pourquoi le nombre de piratages augmente durant les vacances scolaires. Ces adolescents dépensent alors rapidement leur butin pour acheter « un ordinateur portable, des téléphones, des chaussures » ou encore des skins sur Roblox, un jeu en ligne très populaire auprès des adolescents. Aux dires de Plum, les pirates « jouent tous à Roblox ».

Parmi les autres dépenses des lycéens, on trouve des cartes-cadeaux sur Bitrefill, qui permet de régler avec des cryptomonnaies, des plats sur Uber Eats, des vêtements de marques ou… des voitures, qu’ils ne sont pas encore autorisés à conduire. Ils paient aussi des individus pour réaliser leurs devoirs à leur place ou jouent au poker en ligne.

Grâce aux attaques organisées, ces cybercriminels en herbe ont pu gagner une véritable fortune. Au cours des neuf derniers mois, 73 millions de dollars de NFT et de cryptomonnaies ont été subtilisés lors d’une attaque impliquant un serveur Discord.

Source : The Block

 

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Image
  Comment Google a touché des millions des lobbys anti-avortement aux États-Unis Les organisations militant contre l’IVG ont investi Google : elles auraient dépensé près de 10 millions de dollars ces deux dernières années pour mettre en avant des « centres de crise de la grossesse » aux États-Unis – en vérité des structures qui militent contre l’avortement. Aux États-Unis, si vous tapez dans le moteur de recherche de  Google  «  clinique d’avortement près de chez moi  », «  pilule du lendemain  » ou encore «  clinique pour avorter  », vous risquez de voir dans la liste des résultats sponsorisés des liens renvoyant vers de fausses cliniques, promues par le lobby anti- avortement . Selon une étude parue jeudi 15 juin, réalisée par le  Center for Countering Digital Hate (CCDH) , le secteur aurait versé à Google près de 10 millions de dollars ces deux dernières années pour promouvoir ces établissements. Dans le viseur de cette...
Lire la suite
Image
  Annoncé en début de semaine, le Vision Pro fera sans doute date. Si Apple lui a consacré beaucoup de temps, il n’a donné que peu de détails techniques. Heureusement, certains analystes s’en sont chargés, épluchant la technologie utilisé, les améliorations réalisés et les coûts. Fidèle à ses habitudes, Apple n’a que très peu parlé de la technologie derrière la magie qui sous-tend son Vision Pro, son premier casque de réalité mixte introduit en guise de One more thing lors de la keynote d’ouverture de la WWDC 2023. Les données techniques tiennent en quelques mots : 12 caméras ; cinq capteurs ; six microphones ; un M2 ; une puce R1, en charge des capteurs et caméras ; et deux écrans micro OLED. Un dernier point central dans l’expérience offerte par le Vision Pro, tant ce sont ces deux petites dalles qui sont le siège de la fusion entre réalité virtuelle et réalité « rediffusée ». Cette dernière est en effet filmée par les caméras avant d’être ...
Lire la suite