Comment fonctionnent généralement les escroqueries NFT ?

Phishing et fausse usurpation d’identité sur le marché

1. Les fraudeurs créent des sites Web qui reflètent des marchés NFT légitimes comme OpenSea ou Blur, en utilisant des logos, des schémas de couleurs et des dispositions de navigation presque identiques.

2. Ces plateformes contrefaites affichent des collections tendances et de faux prix planchers pour inciter les utilisateurs à connecter leurs portefeuilles.

3. Une fois qu'un portefeuille est connecté, des scripts malveillants déclenchent des approbations non autorisées, accordant à l'attaquant un accès complet à tous les NFT détenus dans ce portefeuille.

4. Les victimes ne remarquent souvent le vol qu'après avoir constaté des transactions inattendues sur Etherscan ou remarqué des actifs manquants dans l'interface de leur portefeuille.

5. Les NFT volés sont immédiatement répertoriés et vendus sur plusieurs marchés secondaires, les bénéfices étant acheminés via des services de mixage pour obscurcir le traçage.

Le tapis tire dans les écosystèmes de jeu basés sur NFT

1. Un projet lance un jeu NFT prometteur avec des mécanismes de jeu pour gagner, soutenu par des bandes-annonces sur papier glacé, des recommandations d'influenceurs et des communautés Discord dépassant les 50 000 membres.

2. Les premiers utilisateurs achètent des NFT de personnages ou des parcelles de terrain à l'aide d'ETH ou de jetons natifs de plate-forme, croyant en l'utilité et l'accumulation de valeur à long terme.

3. Les développeurs désactivent progressivement les fonctions de base, telles que les récompenses de mise, le pontage de jetons ou les listes de marchés, tout en continuant à promouvoir de nouveaux événements Mint.

4. Les liquidités sont drainées du pool Uniswap du jeton natif, provoquant un effondrement de son prix de plus de 95 % dans les 72 heures suivant l'annonce finale.

5. Les fondateurs disparaissent des réseaux sociaux et les noms de domaine associés au projet expirent sans renouvellement.

Ingénierie sociale via DM et canaux communautaires

1. Les attaquants surveillent les profils publics Twitter/X et les serveurs Discord pour identifier les collectionneurs actifs qui ont récemment acquis des NFT de grande valeur.

2. Ils envoient des messages directs se faisant passer pour des agents d’assistance depuis des plateformes connues, citant une « activité suspecte » ou une « vérification du portefeuille requise ».

3. Les liens intégrés dans ces messages mènent à des pages hébergées demandant des demandes de signature pour des transactions apparemment inoffensives, accordant en réalité des approbations ERC-20 ou ERC-721 illimitées.

4. Certaines variantes utilisent l'usurpation d'identité d'appel vocal, imitant les tonalités du service client tout en guidant les victimes à travers les étapes de confirmation MetaMask.

5. Les comptes compromis sont ensuite utilisés pour spammer des liens frauduleux identiques vers la liste de contacts de la victime, amplifiant ainsi la vitesse de propagation.

Contrefaçon et manipulation des métadonnées

1. Un attaquant déploie un contrat intelligent qui reproduit la norme de jeton et la structure des métadonnées d'une collection établie, telle que Bored Ape Yacht Club.

2. Les métadonnées hors chaîne sont hébergées sur un stockage décentralisé comme IPFS mais pointent vers des fichiers image modifiés : des avatars légèrement modifiés avec des accessoires ou des palettes de couleurs échangés.

3. Ces contrefaçons sont répertoriées sur des agrégateurs portant des noms de collections similaires, en s'appuyant sur la similitude visuelle et les faibles frais d'inscription pour apparaître aux côtés des articles authentiques.

4. Les acheteurs scannant les codes QR ou cliquant sur « Vérifier la collection » sur des outils tiers peuvent recevoir des faux positifs en raison d'une logique de validation d'adresse de contrat incomplète.

5. Une fois acheté, le NFT s'affiche correctement dans la plupart des interfaces de portefeuille, masquant l'absence de provenance officielle ou de mécanismes d'application des redevances.

Foire aux questions

Q1 : Les portefeuilles matériels peuvent-ils empêcher les escroqueries NFT ? Les portefeuilles matériels protègent les clés privées mais n'arrêtent pas les exploits d'approbation basés sur les signatures. Les utilisateurs doivent vérifier chaque détail de la transaction sur l'appareil, et pas seulement approuver aveuglément les invites.

Q2 : Les collections vérifiées sur les places de marché garantissent-elles la sécurité ? La vérification confirme uniquement que l'adresse du contrat correspond à l'adresse officielle. Il n’évalue pas les risques sous-jacents du code, la durabilité économique ou la crédibilité de l’équipe.

Q3 : Pourquoi les escrocs préfèrent-ils Ethereum aux autres chaînes pour la fraude NFT ? La domination d'Ethereum dans le volume NFT, l'écosystème d'outils mature et la compatibilité généralisée des portefeuilles réduisent les frictions pour l'exécution et la monétisation des attaques.

Q4 : Les redevances NFT sont-elles opposables aux fraudeurs ? L’application des redevances repose sur la conformité du marché et sur une logique au niveau du contrat. Les fraudeurs opérant sur des marchés non réglementés ou fourchus contournent entièrement les mécanismes de redevances.