Qu’est-ce que l’arnaque par phishing NFT ?

Définition et mécanisme de base

1. Une escroquerie de phishing NFT est une cyberattaque trompeuse spécialement conçue pour inciter les utilisateurs à rendre leurs clés privées, à signer des transactions malveillantes ou à connecter des portefeuilles à des sites Web contrefaits.

2. Les attaquants usurpent l'identité de marchés NFT légitimes, d'équipes de collecte ou d'interfaces de portefeuille en utilisant des noms de domaine presque identiques aux noms authentiques, tels que « opensea[.]xyz » au lieu de « opensea.io ».

3. Ces escroqueries déploient souvent de fausses annonces de largage, des invites urgentes de vérification du portefeuille ou de fausses notifications de transfert de propriété pour provoquer des actions de panique.

4. Une fois qu'une victime connecte son portefeuille ou approuve une transaction sur l'interface frauduleuse, l'attaquant prend le contrôle immédiat de tous les NFT et jetons de ce portefeuille.

5. Contrairement à la fraude financière traditionnelle, le phishing NFT ne nécessite pas de vol d'identifiants : il exploite le modèle d'exécution irréversible de la blockchain, rendant la récupération pratiquement impossible après l'approbation de la signature.

Vecteurs de livraison courants

1. Les chaînes Discord et Telegram hébergent de faux modérateurs de communauté qui envoient des DM aux utilisateurs avec des « liens d'assistance » menant à des interfaces dApp clonées.

2. Des extensions de navigateur malveillantes se faisant passer pour des assistants de portefeuille injectent silencieusement des injections de script dans les pages légitimes du marché NFT.

3. Les fausses pages Mint reproduisent les lancements de collections officielles jusqu'au poids de la police et au timing de l'animation, mais pointent vers des contrats intelligents contrôlés par les attaquants.

4. Les campagnes par e-mail imitent les alertes de sécurité de la plateforme, invitant les destinataires à « revérifier leur portefeuille » via des liens intégrés qui chargent des interfaces de phishing.

5. L’empoisonnement des moteurs de recherche pousse les faux sites miroirs OpenSea ou Blur les mieux classés, capturant le trafic organique ignorant les divergences d’URL.

Mesures de l'impact économique

1. En août 2023, les comptes de phishing NFT vérifiés ont volé 67 188 NFT , représentant des actifs répartis dans plus de 420 collections distinctes.

2. Les bénéfices de la revente directe ont totalisé 20,92 millions de dollars , avec plus de 73 % des objets volés liquidés dans les 48 heures suivant l'acquisition.

3. Les collections les plus ciblées comprenaient Bored Ape Yacht Club, CryptoPunks et Azuki, représentant 41 % de tous les NFT compromis.

4. Les opérations liées aux gangs ont montré des modèles de blanchiment multi-portefeuilles coordonnés, avec 19 clusters identifiés transférant des fonds via Tornado Cash et des ponts inter-chaînes.

5. La perte moyenne par portefeuille de victime était de 12 740 $ , calculée à partir des évaluations du prix plancher au moment du vol sur 1 625 rapports d'incident confirmés.

Drapeaux rouges comportementaux

1. Les plateformes légitimes ne demandent jamais la saisie d’une clé privée, la divulgation d’une phrase de départ ou une connexion non sollicitée au portefeuille via des fenêtres contextuelles.

2. Les aperçus de transaction affichant « Approuver tout » ou « Définir l'approbation pour tous » vers des adresses de contrat inconnues indiquent une autorisation à haut risque.

3. Les URL contenant des traits d'union, des caractères homographes (par exemple, « ο » au lieu de « o ») ou des TLD non standard comme .club ou .xyz justifient un examen immédiat.

4. Les comptes Discord/Telegram non vérifiés revendiquant une affiliation à des équipes officielles n'ont pas de coches bleues et utilisent souvent des photos de profil en basse résolution.

5. Les augmentations soudaines des frais de gaz provoquées par des messages de « vérification urgente » sont conçues pour faire pression sur les utilisateurs pour qu'ils approuvent sans examiner les détails.

Foire aux questions

Q : Puis-je récupérer des NFT après avoir signé une transaction malveillante ? La récupération est techniquement impossible. Les transactions blockchain sont immuables ; une fois signé et confirmé, la propriété est transférée de manière irréversible à l'adresse de l'attaquant.

Q : Les portefeuilles matériels protègent-ils contre le phishing NFT ? Les portefeuilles matériels empêchent l'exposition des clés privées, mais n'empêchent pas les utilisateurs d'approuver des transactions nuisibles sur des interfaces compromises : la vérification visuelle des adresses de contrat reste essentielle.

Q : Pourquoi les sites de phishing semblent-ils identiques aux sites réels ? Les attaquants utilisent des outils de clonage automatisés qui récupèrent le code frontal en direct, injectent des scripts malveillants et hébergent des répliques sur une infrastructure cloud bon marché, atteignant ainsi une fidélité visuelle presque parfaite.

Q : Les places de marché NFT sont-elles responsables des pertes liées au phishing ? Aucun marché NFT majeur n'assume la responsabilité des pertes d'utilisateurs résultant d'interactions de phishing avec des tiers, comme indiqué explicitement dans ses conditions d'utilisation.