Laisse pas trainer ton code. La gestion du principe de sécurité laisse encore largement à désirer dans le secteur des cryptomonnaies. Avec d’un côté des utilisateurs pas toujours au point en termes d’hygiène numérique. Et de l’autre, des protocoles parfois un peu trop précipités dans leur manière de tenter de les attirer sur leurs plateformes. Le problème ? Au centre de cette chaine de défaillances se trouvent les hackers en quête d’une nouvelle faille à exploiter. Alors autant dire que les « anciens smart contracts » laissés à l’abandon par le projet « P2E sécurisé » NFT Trader ont été le cadeau au pied de leur sapin de Noël.
Hack NFT Trader : d’anciens smart contracts incriminés
Les smart contracts sont-ils en train de devenir les déchets satellitaires numériques de la nouvelle économie du Web 3 à peine créée ? Avec un risque de collision désormais à prendre en compte dans la gestion de ses interactions avec les protocoles de la DeFi. La question mérite d’être posée suite à ce qui vient de se passer durant le week-end.
Un hacker s’empare de plusieurs millions de dollars de NFT populaires
En effet, un hacker s’est apparemment offert pour Noël une très belle collection de NFT ultra-populaires, estimée à plusieurs millions de dollars. Mais, quelle peut bien être la cause de ce carnage ? Les « anciens smart contracts » du protocole NTF Trader, autoproclamé sur son compte X comme un « fournisseur d’infrastructures et de solutions d’échange d’actifs numériques P2P sécurisé ». Oups…
« Il y a eu une exécution de code malveillant par un tiers sur nos deux anciens smart contracts. Cependant, nous avons mis en œuvre toutes les mesures nécessaires pour éviter que de tels incidents ne se reproduisent à l’avenir. »
Et, comme à chaque fois dans ce genre de situation, la politique est de colmater le problème une fois qu’il est intervenu. Mais, il faudra peut-être leur dire un jour que cela se résume à agir trop tard. Surtout pour les détenteurs des Bored et Mutant Ape Yacht Club (BAYC), NFT World of Women, VeeFriends et autres Art Blocks concernés…
Sécurise-toi toi-même
Le protocole NFT Trader exhorte ses utilisateurs à révoquer eux-mêmes les smart contract concernés. Cela tout en rappelant – et c’est une très bonne chose – de bien penser à effectuer cette opération « après avoir conclu une transaction sur n’importe quelle plateforme. » Mais avant de demander à ses utilisateurs de faire le job, il faudrait peut-être penser à faire le ménage dans son propre code.
« Le contrat NFT Trader 0xC310e760778ECBca4C65B6C559874757A4c4Ece0 n’est pas mis en pause. Dans un autre cas d’incompétence flagrante (mais probablement pas de complicité), ils ont inclus le module Pausable, mais n’ont jamais inclus de fonction permettant de réellement mettre en pause. »
Du côté du hacker, cette opération s’est rapidement transformée en un exercice de racket numérique. En effet, ce dernier semble attendre le versement d’une rançon de 3 ETH pour chaque BAYC détourné et de 0,6 ETH pour leurs versions Mutants. Il aurait dans le même temps déjà retourné certain BAYC déposés en staking à leurs propriétaires, non sans avoir auparavant retiré pour son compte les récompenses en ApeCoin (APE) associées.
Dans le même temps, d’autres hackers auraient profité de la découverte de cette faille afin de dérober des NFT Cool Cats et Squiggles. Une activité à propos de laquelle la plateforme NFT Trader n’a toutefois pas apporté de confirmation.
Le fait est une nouvelle fois établi. Seules les bonnes pratiques mises en place par les utilisateurs peuvent réellement garantir la sécurité de leurs fonds numériques. D’autant plus si l’on considère les vulnérabilités critiques mises à jour dans le secteur des NFT. Avec, comme à chaque fois, des pertes rapidement comptabilisées en millions de dollars.
L’article Hack NFT Trader : plusieurs millions de dollars détournés en BAYC, MAYC et Art Blocks est apparu en premier sur Journal du Coin.