Un tableau de bord en temps réel a été mis à disposition sur le marché OpenSea par une équipe de sécurité du portefeuille. Ce tableau de bord donne aux membres de la communauté la possibilité d'identifier, de suivre et de surveiller les éventuelles violations à l'aide de jetons non fongibles (NFT) utilisant des signatures hors ligne.
La société à l'origine du portefeuille de crypto-monnaie ZenGo affirme avoir développé une détection de piratage NFT en utilisant une approche simple. Cela implique de conserver un enregistrement des transactions NFT réalisées sur le marché NFT et de comparer le montant de chaque transaction au prix plancher de la collection NFT. Il sera détecté comme un piratage possible si le rapport entre les deux valeurs commerciales est anormalement bas.
Pour commencer, cette forme de piratage n'a pas de méthode standard pour révéler la signification des messages que les utilisateurs sont tenus de signer. Cela indique que les gens doivent « croire aveuglément » le message et « les signer aveuglément » pour continuer. De plus, Be'ery a noté que ce type d'attaque affecte les contrats des plateformes et a suggéré que les plateformes partagent une certaine responsabilité dans des situations comme celles-ci.
Lorsqu'un responsable de portefeuille a été interrogé sur les réponses possibles à ce problème au sein de la communauté, il a répondu en affirmant qu'il n'y avait actuellement aucune réponse satisfaisante. Son explication était la suivante : « Les utilisateurs peuvent utiliser certaines extensions de navigateur propriétaires qui permettent un certain accès à certaines signatures hors ligne. Cependant, ces extensions ne couvrent pas toutes les signatures hors ligne et doivent être mises à jour chaque fois qu'un nouveau type de signature hors ligne est introduit.
Selon l'équipe ZenGo, ils ont également commencé à travailler avec la Fondation Ethereum, ainsi qu'une variété d'applications décentralisées et d'autres portefeuilles, pour approuver un projet de proposition d'amélioration d'Ethereum (EIP) qui, s'il est adopté, résoudra le problème. Selon Be'ery, "L'EIP permet à un contrat de décrire la signification exacte de la signature hors ligne, de sorte que l'application de portefeuille puisse l'afficher à l'utilisateur. L'utilisateur peut alors prendre une décision éclairée quant à savoir s'il souhaite ou non signer la signature hors ligne, et il n'a pas besoin de signer aveuglément. Ceci est rendu possible par l'EIP.
Sur OpenSea, des mises en garde similaires sur les transactions sans gaz ont également été émises par d'autres organisations et individus de la communauté. Le projet antivol Harpie a lancé un avertissement à la communauté le 23 décembre sur une fraude utilisant des enchères privées qui affecte les utilisateurs de la place de marché NFT. En plus de cela, la fraude implique la validation inconsidérée des signatures.
Source : https://blockchain.news/news/zengos-nft-hack-detector