Par Mitchell Amador

Les NFT ont explosé dans la conscience publique après la vente emblématique de l’artiste Beeple de « Everydays – The First 5000 Days » pour la modique somme de 69 millions de euros. Ce NFT avait également la particularité d’être la première œuvre d’art purement numérique jamais proposée par Christie’s, une grande vente aux enchères. maison.

Avec des géants des médias sociaux comme Twitter intégrant NFT dans leur application et Meta créant des applications cachées pour accélérer l’adoption grand public, l’intégration de NFT dans la vie quotidienne semble imminente. Une analyse Google Trends du terme NFT le montre.

Cependant, un grand nombre d’utilisateurs ignorent totalement les problèmes de sécurité liés aux NFT. L’éducation à ces préoccupations est plus importante que jamais.

Voici quelques vecteurs d’attaque à connaître, qui sont une combinaison d’attaques contre les plateformes et d’attaques contre les utilisateurs.

NFT qui enregistrent votre IP

Certains NFT affichés sur OpenSea peuvent enregistrer votre adresse IP et d’autres données d’agent utilisateur telles que le navigateur, le système d’exploitation, etc. Comme l’a expliqué Bax of Convex Labs, ce problème est dû au fait qu’OpenSea permet aux fournisseurs NFT d’ajouter une « animation_url » aux métadonnées NFT. Le champ animation_url est compatible HTML et, comme Bax l’a démontré, le code NFT de capture de données injecté peut inclure le code de collecte IP couramment utilisé à partir d’un site appelé IPlogger.org. Les utilisateurs peuvent atténuer cela en bloquant les scripts (bien que cela empêchera le NFT de jouer) et en utilisant un VPN pour naviguer sur Internet.

La flexibilité des métadonnées NFT, qui fait partie des raisons pour lesquelles les NFT sont un nouveau support artistique si fertile, permet à un code arbitraire de rendre le NFT dans le navigateur de l’utilisateur. Cette flexibilité crée de grands risques au-delà des NFT qui peuvent enregistrer votre adresse IP.

Défauts des contrats intelligents

En 2017, CryptoPunks, l’un des projets NFT les plus populaires, a subi une faille de contrat intelligent qui empêchait (CRYPTO:ETH) d’être envoyé au portefeuille du vendeur. Les attaquants pourraient utiliser cette faille pour acheter des NFT CryptoPunks, puis retirer l’argent du contrat. En raison du bug dévastateur, CryptoPunks a dû recommencer et relancer son projet avec un nouveau contrat intelligent. Malheureusement, lorsque le bogue a été découvert, les 10 000 CryptoPunks étaient en circulation.

En août 2021, whitehat samczsun a découvert une vulnérabilité dans le projet NFT Hashmask. Plus précisément, il y avait un bogue dans la fonction utilisée pour générer de nouveaux NFT qui aurait permis à un attaquant malveillant de générer plus de 16 384 hashmasks. Heureusement, le bogue n’a pas été exploité et Hashmask a payé à samczsun une prime de bogue de 12 500 $ pour sa divulgation.

Un autre cas intéressant montrant des problèmes potentiels de NFT est le piratage Meebit de mai 2021. L’attaquant a profité du fait que les métadonnées du prochain Meebit à frapper étaient disponibles juste avant la frappe. L’attaquant a pu « refondre » l’atelier Meebit avant qu’il n’arrive à obtenir un Meebit plus favorable. Cela montre à quel point la génération de nombres aléatoires (RNG) est importante sur la blockchain et à quel point il est difficile de bien faire les choses. Tant que les projets s’appuient sur des bits aléatoires pour leur NFT, il vaut la peine de vérifier comment ils abordent le RNG. L’utilisation d’un oracle aléatoire vérifiable hors chaîne, comme le VRF de Chainlink, est la bonne voie à suivre.

piratage de compte

Crypto Twitter a récemment été rempli de rapports d’épuisement des portefeuilles d’utilisateurs après avoir reçu un certain NFT gratuit. Check Point Research, une société de cybersécurité, a contacté les utilisateurs concernés et a découvert une vulnérabilité importante dans OpenSea que les attaquants exploitaient pour détourner le compte et le portefeuille d’un utilisateur.

C’est ainsi que cela a été fait : les pirates ont créé des NFT malveillants et les ont présentés à la cible. Après que les utilisateurs ont vu le NFT malveillant, le domaine de stockage OpenSea a déclenché une fenêtre contextuelle (très anodine et courante). Si la victime cliquait sur « connecter le portefeuille », le pirate avait accès au portefeuille de la victime.

Les pirates pourraient alors voler les actifs du portefeuille de l’utilisateur en obtenant plus d’approbations.

OpenSea a rapidement développé un correctif après la divulgation de la vulnérabilité. Selon OpenSea, les attaquants se sont appuyés sur les utilisateurs signant des transactions malveillantes à l’aide de portefeuilles tiers.

En mars de l’année dernière, plusieurs clients de Nifty Gateway, une bourse de trading NFT, se sont fait voler leurs comptes. Certaines victimes ont affirmé que des pirates avaient volé des milliers de euros d’art numérique sur leurs comptes, tandis que d’autres ont affirmé que leurs comptes avaient été piratés sans raison.

Il s’est avéré que les comptes piratés ne permettaient pas l’authentification à deux facteurs (2FA). L’activation de 2FA est cruciale, et l’activation de 2FA via une application d’authentification empêche l’échange de carte SIM.

Mais même si les plateformes adoptent les dernières mesures de sécurité, il existe un risque substantiel associé au fait que les utilisateurs ne stockent pas en toute sécurité leurs mots de passe et autres données sensibles, que des acteurs peu scrupuleux peuvent utiliser pour acquérir leurs NFT.

Pour protéger vos mots de passe, utilisez un gestionnaire de mots de passe.

Usurpation d’identité et permanence

La possibilité d’acheter des NFT frauduleux représente également un grave danger. Des acteurs malveillants peuvent se faire passer pour des créateurs connus et vendre des certificats de propriété contrefaits. Par exemple, cet été, un collectionneur et artiste NFT bien connu connu sous le nom de « Pranksy » a acheté un faux Banksy NFT pour 300 000 $. Heureusement, l’escroc a rendu les fonds Pranksy. Tous ceux qui se feront arnaquer à l’avenir ne seront pas aussi chanceux.

De plus, si le NFT pointe vers une image ou un fichier musical sur, par exemple, Amazon Web Services, il est possible que ce fichier soit ultérieurement remplacé par un autre fichier, voire supprimé. C’est une bonne pratique pour les NFT de pointer vers des ressources sur IPFS, un système de fichiers décentralisé, pour éviter qu’elles ne soient facilement échangées contre autre chose par quiconque ayant un accès facile à un serveur centralisé. Si les métadonnées ne sont pas décentralisées, le NFT n’est pas décentralisé.

Les NFT représentent désormais une frontière lucrative pour les mêmes pirates qui constituent une menace pour les contrats intelligents, et il est essentiel que les sociétés de recherche en sécurité se concentrent sur ce secteur en plein essor du Web3.

Vous ne pouvez pas faire grand-chose si une plate-forme que vous utilisez souffre d’un contrat intelligent ou d’une violation Web, mais vous pouvez faire certaines choses pour vous protéger en tant qu’utilisateur : utilisez un VPN, utilisez 2FA pour protéger vos identifiants de connexion, stockez vos mots de passe dans un gestionnaire de mots de passe et soyez à l’affût des attaques potentielles de phishing et de phishing. En crypto, c’est toujours une bonne idée d’être sceptique car partout où il y a des actifs de grande valeur, vous pouvez être sûr que les escrocs, les pirates et autres mauvais acteurs les suivront.