Des pirates informatiques ont volé plus d’une centaine d’oeuvres d’art numériques, dont les fameux Bored ape, après s’être fait passer pour la société à l’origine de ces NFT.

C’était un lundi mouvementé dans le monde de NFT. Ce 25 avril, des pirates sont parvenus à dérober 134 oeuvres d’arts numériques pour une valeur totale de 2,52 millions d’euros. Parmi les NFT subtilisés figurent de nombreuses créations du Yuga Labs, dont les fameux Bored Ape.

La société a d’abord déclaré sur Twitter qu’aucun lancement de NFT (mint) n’était en cours et prévenait ses clients que son compte Instagram avait probablement été hacké. Trop tard, une capture d’écran publiée par un investisseur en crypto montrait qu’une douzaine de Bored Ape avaient déjà été transférés sur la plateforme Open Sea. La page de profil liée à l’adresse du portefeuille du hacker n’était plus visible sur OpenSea au moment de la publication.

Étant donné la nature décentralisée des NFT, le contenu du portefeuille des pirates a été retrouvé par le média américain The Verge sur la place de marché Rarible. Au total, on recense 134 oeuvres d’art numériques dérobées, pour l’instant.

Pirater le compte officiel pour tromper les propriétaires

La valeur de chacun « des singes » volés dépasse les 100 000 euros, selon les dernières estimations. Ainsi le moins cher, le #7203, a été vendu il y a quatre mois pour 47,9 ETH, environs 130 000 euros au cours actuel tandis que le #6623, le plus onéreux, a été vendu il y a trois mois pour 123 ETH, environ 330 000 euros.

Pour tromper les propriétaires, les pirates ont d’abord hacké le compte Instagram de Yuga Labs avant l’inviter à un évènement en ligne. La société a déclaré sur Twitter que la double authentification était activée au moment de l’attaque. 

Les pirates ont ensuite fait la promotion d’une fausse distribution de NFT, connue sous le nom d’airdrop, qui a incité les utilisateurs à cliquer sur une URL corrompue. Une fois que les victimes ont cliqué dessus, elles ont donné le contrôle de leurs portefeuilles. Ces « wallet » sont souvent des applications sur smartphone, plus faciles à utiliser pour acheter et vendre des NFT en urgence, mais aussi plus vulnérable aux piratages.

Cette technique a déjà fait ses preuves, puisqu’en début de mois, le canal officiel Discord de Bored Ape Yacht Club, ainsi que plusieurs autres chaînes ont également été piratées. Les hackers avaient utilisé la même technique, invitant les propriétaires de NFT à cliquer sur lien pour profiter d’un lancement d’oeuvre d’art.