Un guide sur la sécurité NFT : comment éviter les arnaques et protéger vos actifs.

Comprendre les vulnérabilités du portefeuille NFT

1. Les clés privées stockées dans des fichiers texte non chiffrés exposent le contrôle total des actifs à toute personne ayant accès aux fichiers.

2. La réutilisation des mots de passe sur plusieurs plates-formes augmente le risque d'attaques de credential stuffing ciblant les marchés NFT.

3. Les extensions de navigateur disposant d'autorisations excessives peuvent intercepter les demandes de signature de portefeuille et rediriger les transactions vers des adresses contrôlées par des attaquants.

4. Les sites de phishing imitant les interfaces de connexion MetaMask ou Phantom incitent les utilisateurs à approuver des contrats malveillants.

5. Les portefeuilles matériels déconnectés lors des invites de signature peuvent amener les utilisateurs à recourir à des alternatives logicielles non sécurisées sans se rendre compte du changement de risque.

Risques de contrats intelligents dans les projets NFT

1. Les contrats non audités contiennent souvent des vulnérabilités de réentrance qui permettent aux attaquants de drainer les mécanismes de redevances ou de créer des fonctions.

2. Des crochets de transfert malveillants intégrés dans les comptes liés aux jetons ERC-6551 peuvent déclencher des mouvements d'actifs non autorisés lors de changements de propriété.

3. Les adresses de propriétaire codées en dur dans les contrats évolutifs donnent aux entités centralisées un contrôle unilatéral sur les métadonnées et les paramètres de frappe.

4. Les estimations de gaz gonflées dans les fonctions Mint obscurcissent la logique cachée qui exécute des changements d'état supplémentaires au-delà de la simple création de jetons.

5. Les fonctions étiquetées « emergencyPause » manquent souvent de timelocks ou de protections multisig, permettant le gel instantané de tous les actifs des utilisateurs sans préavis.

Vecteurs de menaces spécifiques au marché

1. Les fausses listes de collections sur OpenSea semblent identiques aux projets légitimes, mais utilisent des caractères homographes dans les noms de contrats pour échapper à la détection.

2. Les robots d'enchères surveillent les offres en attente et soumettent des transactions de plus grande valeur avec des frais de gaz élevés pour capturer les actifs sous-évalués avant confirmation.

3. L'hébergement de métadonnées hors chaîne sur des serveurs centralisés permet aux propriétaires de projets de remplacer silencieusement les hachages d'images par du contenu malveillant après la création.

4. Les contournements de l’application des redevances via des transferts directs d’ETH vers les adresses des créateurs contournent la collecte des frais au niveau de la plateforme, laissant les artistes sans compensation.

5. Les intégrations de ponts inter-chaînes avec une validation de signature insuffisante permettent de forger des événements de monnaie inter-chaînes qui dupliquent des jetons rares sur les réseaux.

Tactiques de phishing et d’ingénierie sociale

1. Les imitateurs Discord utilisant des badges vérifiés clonent des structures de serveur pour héberger de faux portails de réclamation de largage nécessitant des connexions de portefeuille.

2. Les DM Twitter provenant de comptes de haut niveau compromis fournissent des liens raccourcis menant à des scripts de drainage de portefeuille déguisés en analyseurs de rareté.

3. De faux tickets d'assistance générés via des modèles d'e-mails d'apparence officielle demandent une vérification de la phrase de départ sous des prétextes urgents.

4. Les groupes Telegram annonçant des « spots sur liste blanche » exigent des paiements initiaux d'ETH à des adresses non contractuelles sans mécanisme de remboursement.

5. Les escroqueries par appel vidéo se font passer pour des spécialistes de la récupération de portefeuille qui guident les victimes dans l'exposition de leurs clés privées via des sessions de partage d'écran.

Foire aux questions

Q : Puis-je vérifier si un contrat NFT a été audité ? R : Oui. Consultez Etherscan pour les rapports d'audit liés dans l'onglet « Contrat » du contrat. Recherchez les signatures d'entreprises réputées comme CertiK ou OpenZeppelin, et pas seulement des affirmations auto-certifiées dans la documentation du projet.

Q : Pourquoi certains NFT affichent-ils un prix plancher nul sur les agrégateurs ? R : Cela se produit lorsqu'aucun ordre de vente valide n'existe sur les échanges décentralisés pris en charge ou lorsque le contrat de collection ne parvient pas à émettre les événements de transfert standard requis par les services d'indexation.

Q : Est-il sûr d'approuver des allocations de dépenses illimitées pour les marchés NFT ? R : Non. Les approbations illimitées accordent un accès perpétuel à tous les jetons détenus dans votre portefeuille. Utilisez des outils comme Revoke.cash pour réduire les allocations aux montants exacts requis avant chaque transaction.

Q : Comment puis-je confirmer si les métadonnées d'un NFT sont stockées sur IPFS ? R : Affichez les données brutes du jeton sur Etherscan. Si le champ tokenURI commence par ipfs:// , il pointe vers un stockage décentralisé. Évitez les jetons où les URI sont résolus en points de terminaison HTTP contrôlés par des entités inconnues.