Des NFTs ont été volés à des utilisateurs de la place de marché OpenSea pour une valeur de 1,6 million de dollars. Ce sont au total 32 comptes et 254 NFTs qui ont été touchés par cette attaque.

Alors que les NFT promettent de garantir la propriété de biens virtuels, il semblerait qu’ils ne soient pas impossibles à voler. En effet, 32 utilisateurs de la place de marché pour NFT, OpenSea, se sont vus dérobés leurs 254 NFTs, dont la valorisation totale est de 641 Éther, soit l’équivalent d’1,6 million de dollars.

Parmi les NFTs dérobés, certains faisaient partie de la collection Bored Ape Yacht Club, une collection très limitée autour de laquelle est construite une réelle communauté. Un autre NFT, de la collection Azuki, aurait été revendu immédiatement après le hack pour la somme de 13,4 Ethers, soit 34 700 dollars. L’attaque s’est déroulée en seulement 3h, de 17h à 20h, et a causé une vague de panique dans la communauté NFT. Rapidement 3 700 utilisateurs d’OpenSea se sont retrouvés dans un Space Twitter pour suivre l’évolution de la situation. Ce n’est que plus tard dans la nuit que le cofondateur et CEO d’OpenSea, Devin Finzer, a apporté des premiers éléments de réponse. Il a affirmé être convaincu qu’il s’agit d’une attaque de phishing. Ainsi, 32 utilisateurs de la plateforme auraient mordu à l’hameçon et se sont vus dérobés de leurs NFTs. Pour autant, il déclare avoir contacté les victimes et ces dernières affirment n’avoir ni reçu ni cliqué sur un lien suspect avant l’attaque. Le CEO tient toutefois à assurer que la plateforme OpenSea n’est en aucun cas remise en cause car toutes les commandes malveillantes contiennent des signatures valides des utilisateurs concernés, ce qui indique qu’ils ont bien signé une commande quelque part.

Les détails de l’attaque restent donc très flou et il n’y a aucune certitude quant au procédé réel. Selon The Verge, le ou les hackers auraient pu exploiter une faille du protocole Wyvern utilisé dans les contrats de NFT. Les victimes auraient pu avoir signé un contrat partiel suite à quoi, le ou les hackers ont pu compléter le contrat de façon à se transférer gratuitement les NFTs. Le CEO poursuit l’enquête en collaboration avec les victimes pour tenter d’isoler des sites Web sur lesquels ils se sont rendus et qui pourraient être à l’origine de l’attaque. Le marché des NFTs étant encore très récent, nombre d’individus le suivent d’un œil observateur sans oser y investir. Ce type d’événement a donc le potentiel d’énormément nuire à la réputation et au développement du secteur.