Les braquages NFT font la une des journaux. Voici comment vous pouvez vous protéger, dit Indre Viltrakyte, co-fondateur de la Les rebelles.
Les attaques de phishing ne sont pas nouvelles. Parfois, ils sont faciles à repérer. Comme lorsque les invites viennent avec une demande d'envoyer vos informations bancaires à un prince d'un pays étranger lointain. Mais parfois, ils sont plus difficiles à repérer. Comme lorsqu'une demande d'approbation de la libération de vos actifs provient d'une source apparemment digne de confiance.
C'est ce qui s'est passé récemment dans une affaire de vol par hameçonnage NFT. Les utilisateurs ont fait confiance à un schéma qui impliquait le Plate-forme prémint. Les utilisateurs ont accepté d'être invités à approuver une entité inconnue pour contrôler leurs actifs.
Le 17 juillet 2022, une plate-forme NFT populaire, Premint NFT, a été piratée. 314 NFT d'une valeur de 430,000 XNUMX $ ont été volés. Les auteurs ont pu implanter un code malveillant sur le site Web officiel de Premint. Le code demandait aux utilisateurs de "définir des approbations pour tous" lors de la connexion de leurs portefeuilles numériques au site. Cela a permis aux attaquants d'accéder à leurs actifs cryptographiques et de voler leurs NFT.
Le nouveau monde des NFT - collection d'art numérique - pourrait faire l'objet de plus d'attaques de phishing.
Braquages NFT : qu'est-ce qui est volé ?
Généralement, lorsque nous entendons le mot NFT, nous pensons à une image numérique unique et connectée à la blockchain. Il est cependant plus élaboré que cela. Lorsqu'on parle de NFT, le suivi de la propriété et l'unicité sont toujours accentués. Mais nulle part dans la norme NFT, il n'est indiqué ce que représentent les jetons uniques. Dans leur essence, les jetons ne sont que des numéros uniques. Ce sont les auteurs de la collection NFT qui définissent ce que ces jetons représentent.
De plus, les images ne sont généralement jamais "téléchargées dans le portefeuille crypto.” Ils ne font pas partie du contrat NFT. Un hachage de l'image peut être écrit dans le contrat pour créer une connexion avec la chose que le NFT représente. En outre, NFT en tant que norme ne se préoccupe pas de la valeur ou des opérations d'achat et de vente des NFT. Il ne fournit que des méthodes standard pour transférer la propriété NFT. Ce sont les marchés et la communauté qui s'appuient sur cela et traitent les NFT comme des marchandises.
En tant que marchandises, les NFT sont principalement achetés en tant qu'objets de collection, souvent utilisés à des fins d'investissement. Ils n'ont développé que récemment des cas d'utilisation pratiques. Un exemple est vêtements de mode numériques dans le Métavers.
Que peut-on faire à l'avenir ?
Qui est à blâmer ? Est-ce l'utilisateur ? Ou la plateforme, qui a permis à un attaquant d'initier une transaction frauduleuse ?
Dans ce cas particulier, les attaquants ont pu afficher du contenu pour inciter l'utilisateur à signer la transaction frauduleuse.
Une raison vague et plausible de la transaction, associée à la confiance dans le site Web, a suffi à en tromper beaucoup. Cela dit, il est déraisonnable de s'attendre à ce que l'utilisateur moyen de Web3 puisse le contourner. La plupart n'avaient pas une expérience technique suffisamment solide pour remarquer que la transaction donnait en fait à quelqu'un l'accès à ses NFT.
Il est possible d'inciter les utilisateurs à signer des transactions si elles sont initiées par un site Web de confiance. Les actifs dans les portefeuilles des utilisateurs ne sont aussi sûrs que TOUTES les applications décentralisées (dapps) avec lesquelles l'utilisateur interagit ensemble. Des cas identiques sont susceptibles de se produire à l'avenir.
Les chemins sécurité peut être amélioré:
1. Les portefeuilles pourraient afficher des informations plus humaines pour les types d'interaction de contrat connus. Par exemple, un énorme message rouge disant : "Hé, vous donnez le contrôle de tous vos NFT à quelqu'un !" Ce serait bien mieux que l'actuel tout en majuscules "SET APPROVAL FOR ALL" en gris dans la fenêtre de confirmation de transaction de MetaMask.
2. Les sites Web pourraient répertorier et publier les interactions contractuelles qu'ils pourraient initier. Les fournisseurs aiment MetaMask pourrait refuser toute transaction non standard.
Braquages NFT : comment les utilisateurs peuvent-ils se protéger ?
– Vérifiez les détails de la transaction avant de signer. Cela ne protégera pas l'utilisateur à 100 % du temps. Mais revoir quelle méthode sur quel contrat est crucial.
- Séparez les NFT (et autres actifs cryptographiques) en plusieurs portefeuilles. Si les utilisateurs sont amenés à donner à quelqu'un le contrôle de leurs actifs en un seul portefeuille, au moins les actifs des autres portefeuilles sont en sécurité. C'est tant que vous ne partagez pas votre clé privée ou la phrase de départ.
- Utilisez différents portefeuilles pour différents dapps. Ce n'est pas toujours pratique de le faire lorsque le dapp est censé interagir avec d'autres actifs du portefeuille. Cependant, il est important d'essayer de ne garder que ce qui est pertinent.
À propos de l’auteur
Indre Viltrakytė est le co-fondateur de l'entreprise de mode Web3 Les rebelles. Il contient 10101 personnages uniques basés sur la campagne publicitaire controversée "Jesus, Maria". La campagne a été interdite mais a ensuite trouvé justice devant la Cour européenne des droits de l'homme, qui s'est prononcée en faveur de la marque. L'affaire est désormais considérée comme un précédent dans les affaires liées à la liberté d'expression dans l'UE. Indrė Viltrakytė a plus de 10 ans d'expérience dans l'industrie de la mode.
Vous avez quelque chose à dire sur les cambriolages NFT ou autre chose ? Laissez nous un message ou rejoignez la discussion dans notre Chaîne de télégramme. Vous pouvez également nous retrouver sur Tik Tok, Facebookou Twitter.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/nft-heists-attacks-many-to-come/