Les propriétaires des célèbres Bored Ape Yacht Club ont encore été ciblés par un piratage. Cette fois, les attaquants ont usurpé le compte du community manager de la société pour tromper les victimes.

Les propriétaires de NFT (Non-Fungible token) ne sont jamais en sécurité. Un énième hack a eu lieu ce 4 juin 2022, visant les détenteurs de célèbres Bored Ape Yacht Club, les plus populaires des œuvres d’art numériques. Au total, les attaquants ont emporté 32 NFT d’une valeur de 200 Ethereum, soit environ 350 000 euros.

Yuga Labs, la société à l’origine des fameuses œuvres, a confirmé le piratage dans un tweet, précisant qu’elle poursuivait activement l’enquête sur l’incident. Les victimes se sont fait piéger par un lien de phishing, envoyé depuis le compte du responsable des réseaux sociaux de Yuga Labs. Cette méthode a déjà fait ses preuves par le passé : les hackers parviennent à prendre possession d’un compte officiel et publient ensuite un lien piégé annonçant une distribution de NFT, par exemple.

Cette fois, c’est le profil Discord du community manager qui a été usurpé. Le message invitait les détenteurs de Bored Ape à obtenir de nouvelles œuvres, depuis un faux site sur lequel les victimes tapaient leur mot de passe. Une fois les identifiants et les codes tapés, il ne reste plus qu’à siphonner le portefeuille pour les hackers.

Un débat sur le manque de sécurité

C’est la troisième fois qu’un acteur malveillant parvient à se faire passer pour un compte géré par Yuga Labs afin de voler les fonds des utilisateurs. Les profils Discord et Instagram de la société ont déjà été usurpés en avril dernier. Plus de 2,5 millions d’euros de NFT avaient été dérobés. Sur Twitter, les utilisateurs ironisent sur la capacité de Yuga Labs à se faire hacker leurs comptes.

Bored Ape
« C’est quoi votre mot de passe ? 123456 », « Votre community manager devrait expliquer pourquoi et comment son compte à été compromis. Est-ce que vous éduquez au moins vos employés à la sécurité ? » peut-on lire sur Twitter. Source : Twitter

Pour Gordon Goner, l’un des co-fondateurs de la société, le problème se trouve chez Discord, une plateforme qui manque de sécurité, a-t-il déclaré sur Twitter. Le réseau social s’est imposé comme le lieu de rendez-vous des amateurs de NFT avec de nombreux serveurs spécialisés où les artistes et les experts se mettent en avant. C’est également devenu le terrain de chasse des escrocs.

Les pirates informatiques repèrent régulièrement des comptes pour les piéger ensuite. L’acteur Seth Green s’est également fait voler ses Bored Ape la semaine dernière, depuis un lien de phishing. Une méthode simple et efficace, qui reste toujours aussi prisée par les hackers.