Non, les NFT parachutés ne peuvent pas vider votre portefeuille de Crypto

C'est la saison des escrocs dans le monde des NFT, mais au milieu des inquiétudes légitimes concernant les piratages et les exploits, la désinformation se propage rapidement.

Alors que les jetons non fongibles (NFT) continuent de gagner en popularité, la démographie des utilisateurs de nombreuses plateformes de Cryptomonnaie change fondamentalement à mesure qu'une nouvelle population, peut-être moins centrée sur la technologie, apprend comment contrats intelligents travail.

La prolifération d'utilisateurs relativement novices et de nouveaux capitaux sur le marché a conduit à un boom similaire des escroqueries Discord, des tentatives de phishing et des «tondeuses« – tous des vecteurs d’attaque que les utilisateurs de Crypto plus expérimentés connaissent peut-être, mais dont les collectionneurs de NFT entendent souvent parler pour la première fois.

La prévalence de menaces réelles a également conduit à une explosion de la désinformation sur ce qui constitue ou T un risque.

Sur le même sujet : Leçons tirées du braquage des NFT de Nifty Gateway : pas vos clés, pas votre art

Désinformation sur les NFT

Dans un tweet viral publié lundi, le collectionneur de NFT « AJ » a affirmé avoir perdu une collection de NFT d'une valeur de plus de 50 000 $ lors d'un piratage.

AJ a écrit qu'il n'avait saisi sa phrase de départ nulle part, qu'il n'avait pas interagi avec de fausses interfaces ni été victime d'escroqueries courantes, et que la seule raison pour laquelle il aurait pu perdre sa collection était due à des autorisations malveillantes liées à des NFT « parachutés » à son adresse, ou à des NFT envoyés gratuitement à son adresse. AJ n'a T répondu à une Request de commentaire au moment de la mise sous presse.

L'incident a donné lieu à une rumeur selon laquelle accepter des offres sur des NFT envoyés par avion ou les mettre en vente, deux opérations qui nécessitent une approbation de contrat, pourrait entraîner le vidage des portefeuilles.

Cependant, dans des entretiens avec CoinDesk, deux développeurs affirment que la description des Événements par AJ est hautement improbable, voire impossible, et que la sécurité opérationnelle standard - comme la double vérification que les e-mails proviennent des bonnes sources et l'utilisation d'un portefeuille matériel - est la meilleure voie à suivre.

Désapprobation du contrat

La clé de la théorie d’AJ sur la façon dont son portefeuille a été vidé est un exploit de magie des contrats intelligents qui pourrait bien être impossible.

« De nombreux NFT que vous avez échangés sur OpenSea ont la fonction 'setApprovalForAll' définie sur 'true' pour les contrats d'échange OpenSea, à moins que vous n'ayez fait tout votre possible pour obtenir cette approbation », a déclaré le développeur et analyste NFT Nate Alex à CoinDesk sur Twitter, ajoutant :

« Il s'agit d'une approbation globale pour une collection donnée, donc si vous avez 100 NFT Art Block Factory et que vous en échangez un , les 99 autres sont toujours approuvés pour l'échange et ne nécessitent donc que la signature d'un message pour en lister davantage (et non la soumission d'une [transaction]). »

Cependant, tirer parti d’un tel vecteur d’attaque nécessiterait toujours des autorisations spéciales.

« Afin de profiter de l'approbation ouverte d'OpenSea sur toutes les collections, vous auriez besoin soit d'accéder à leur contrat de marché via les contrôles de propriété dudit contrat, soit d'accéder à leur interface pour inciter les utilisateurs à signer de faux messages », a ajouté Alex.

En effet, les détectives de la chaîne ont découvert que la propre adresse Ethereum d'AJ avait accepté une offre basse pour son NFT Damien Hirst, et comme l'a tweeté le développeur pseudonyme de Solidity Foobar, il n'y avait pas de contrat élaboré responsable du transfert de ses avoirs ; sa propre adresse était l'instigatrice.

«LOOKS qu'il ait probablement entré sa clé privée dans un site de phishing ou qu'il y ait eu un logiciel malveillant sur son ordinateur », a déclaré Foobar à CoinDesk.

Bien qu'il y ait eu des différences conceptuellesattaques similaires dans le passé, avec les contrats de jetons fongibles, tels que RUNE, qui reposaient sur une vérification de l'origine de la transaction par opposition à une vérification de l'expéditeur du message, Foobar a déclaré qu'il s'agissait d'un cas limite qui ne devrait T s'appliquer aux NFT.

Sur le même sujet : Le jeton RUNE de Thorchain s'effondre après un deuxième exploit en deux semaines

"N'importe lequel ERC-721 « Cet enregistrement d'approbation dans « tx.origin » pourrait être vulnérable. Mais je ne pense T en avoir jamais vu », a ajouté Foobar.

Les deux développeurs ont averti les utilisateurs de rester prudents face aux e-mails de phishing et ont imploré les collectionneurs d'envisager d'investir dans des portefeuilles matériels.