Les acheteurs espérant obtenir un NFT en édition limitée de Fractal, un nouveau marché pour les objets de jeu NFT, ont eu une surprise désagréable et coûteuse mardi matin lorsqu'il a été révélé qu'un lien envoyé via le site officiel du projet La chaîne Discord était une arnaque mise en place pour voler la crypto.
Les utilisateurs qui ont suivi le lien et connecté leurs portefeuilles crypto, s'attendant à recevoir un NFT, ont plutôt découvert que leurs avoirs en Solana (SOL) crypto-monnaie ont été vidés et transférés sur le compte de l'escroc. Une analyse publiée sur Medium par Tim Cotten, fondateur d'un autre projet de jeu NFT, a estimé la valeur du SOL volé à environ 150 000 $.
Fractal est un projet de démarrage du cofondateur de Twitch, Justin Kan, spécialisé dans l'achat et la vente de NFT représentant des actifs dans le jeu. Il a été annoncé plus tôt en décembre et a rapidement rassemblé plus de 100 000 utilisateurs via Discord, ce qui en fait une cible pour le genre d'escrocs qui ont tourmenté les projets NFT depuis le début.
La nouvelle a atteint Twitter lorsqu'un tweet de Kan a informé les abonnés que le bot d'annonces sur le serveur Discord de Fractal avait été piraté. Un autre tweet du compte Twitter principal de Fractal a confirmé qu'un lien frauduleux avait été posté via la chaîne.
Le bot des annonces sur notre discord @fractalwagmi a été piraté. N'allez sur aucune URL et connectez votre portefeuille/menthe à quoi que ce soit.
— Justin Kan ❄️ (@justinkan) 21 décembre 2021
L'attaque a profité aux utilisateurs espérant créer des NFT, le terme donné pour acheter des jetons au moment où ils sont créés pour la première fois par un projet donné, plutôt que de les acheter sur le marché secondaire à une date ultérieure.
Bien que la publication du bot Discord soit fausse, le compte Twitter officiel de Fractal avait publié un tweet quelques heures plus tôt faisant allusion à un largage à venir : un processus par lequel un projet de cryptographie distribue un certain nombre de jetons, généralement aux utilisateurs qui sont les premiers à adopter. Étant donné que la demande de jetons et de parachutages est souvent très élevée, la pression exercée sur les utilisateurs pour qu'ils agissent rapidement lorsque des annonces instantanées sont faites crée un vecteur d'attaque que les escrocs sont trop heureux d'exploiter.
Alors que la cryptographie derrière les crypto-monnaies et les NFT est hautement sécurisée, le vaste réseau de sites Web et d'applications qui composent l'écosystème cryptographique plus large contient de nombreux vecteurs d'attaque possibles.
Un tweet du compte officiel Fractal a suggéré que le message frauduleux avait été publié sur Discord via un webhook. Les Webhooks sont une fonctionnalité de conception d'applications Web qui permet à une application d'écouter un message envoyé à une URL particulière et de déclencher un événement en réponse, par exemple, la publication sur un certain canal Discord.
Si un webhook n'est pas sécurisé par des mesures d'authentification supplémentaires, toute personne disposant de l'URL est en mesure de publier sur le canal. On ne sait pas quelles précautions, le cas échéant, ont été prises par l'équipe derrière Fractal pour empêcher que cela ne se produise.
À la suite du piratage, un article de blog de Fractal a annoncé que les victimes qui avait perdu de l'argent serait entièrement indemnisé. Tout en s'excusant brièvement, le billet de blog a également semblé mettre une partie du fardeau de la sécurité sur les adeptes du projet, en disant :
« Si quelque chose ne va pas dans la cryptographie, veuillez ne pas ne continuez pas, même si au premier abord cela semble légitime. Nous devons utiliser notre meilleur jugement car il n'y a pas de « bouton d'annulation » dans la crypto. »
Fractal n'avait pas répondu à une demande de commentaire envoyée via le formulaire de contact officiel de l'entreprise au moment de la presse.