Des hackers dérobent le contenu des portefeuilles crypto en envoyant des NFT gratuits aux utilisateurs d'OpenSea

Le plus grand marché de NFT au monde

Après avoir vu des rapports de portefeuilles cryptographiques volés déclenchés par des NFT gratuits, Check Point Research (CPR) a enquêté sur OpenSea, le plus grand marché NFT au monde. L'enquête a conduit à la découverte de vulnérabilités de sécurité critiques sur la plateforme d'OpenSea qui, si elles étaient exploitées, auraient pu conduire des hackers à détourner des comptes d'utilisateurs et à voler des portefeuilles cryptographiques entiers d'utilisateurs, en envoyant des NFT malveillants.

Pour mémoire, un jeton non fongible (NFT, de l'anglais non-fungible token) est un type spécial de jeton cryptographique qui représente un objet numérique tels une image, une vidéo, un fichier audio, auquel est rattachée une identité numérique qui est reliée à un ensemble non vide de propriétaires. Contrairement aux cryptomonnaies, ils ne peuvent pas être négociés ou échangés à l'équivalence. C'est la raison pour laquelle ils sont dits non fongibles. Cela diffère des jetons fongibles comme les cryptomonnaies, qui sont identiques les uns aux autres et, par conséquent, peuvent être utilisés comme support de transactions commerciales. En gros, les NFT sont des jetons cryptographiques uniques qui existent sur une blockchain et ne peuvent être reproduits.

Les analystes sont d’avis que les NFT sont une évolution par rapport au concept relativement simple des cryptomonnaies. Les systèmes financiers modernes sont constitués de systèmes d'échange et de prêt sophistiqués pour différents types d'actifs, allant de l'immobilier aux contrats de prêt en passant par les œuvres d'art. En permettant la représentation numérique d'actifs physiques, les NFT constitueraient un pas en avant dans la réinvention de cette infrastructure. L'idée de représentations numériques d'actifs physiques n'est pas nouvelle, pas plus que l'utilisation d'une identification unique.

À titre d’illustration, un NFT pour une bouteille de vin permettra aux différents acteurs d'une chaîne d'approvisionnement d'interagir plus facilement avec elle et aidera à suivre sa provenance, sa production et sa vente tout au long du processus. Les NFT sont aussi jugés excellents pour la gestion de l'identité. Exemple : le cas des passeports physiques qui doivent être présentés à chaque point d'entrée et de sortie. En convertissant les passeports individuels en NFT, chacun ayant ses propres caractéristiques d'identification uniques, il est possible de rationaliser les processus d'entrée et de sortie des juridictions.

En élargissant ce cas d'utilisation, les NFT peuvent également être utilisés pour la gestion de l'identité dans le domaine numérique. Les NFT peuvent également démocratiser l'investissement en fractionnant les actifs physiques tels que les biens immobiliers. Il est beaucoup plus facile de diviser un bien immobilier numérique entre plusieurs propriétaires qu'un bien physique. Selon les analystes, cette éthique de la "tokenisation" ne doit pas être limitée à l'immobilier ; elle peut être étendue à d'autres actifs, comme les œuvres d'art. Par exemple, un tableau ne doit pas toujours avoir un seul propriétaire.


Attention, hacker !

Que les jetons non fongibles soient un phénomène de mode ou une véritable révolution, les opérateurs de logiciels malveillants sont déjà prêts à profiter de la technologie.

Check Point a lancé une enquête après qu'un certain nombre de portefeuilles cryptographiques appartenant à des clients de la plus grande plateforme d'échange NFT OpenSea (enregistrant un volume de transactions de 3,4 milliards de dollars américains rien qu'en août 2021) se soient mystérieusement vidés. Des chercheurs de Check Point ont découvert qu'une forme de NFT était en circulation, accompagnée de son propre package de logiciels malveillants.

Les gens recevaient des NFT gratuits d'un bienfaiteur inconnu, mais lorsqu'ils acceptaient le cadeau, les attaquants avaient accès aux informations de leur portefeuille dans les systèmes de stockage d'OpenSea. Le code a généré une fenêtre contextuelle qui, en cas de clic, permettait de vider les portefeuilles.

L'exploitation réussie des vulnérabilités aurait nécessité les étapes suivantes :

• le hacker crée et offre un NFT malveillant à une victime cible ;
• la victime voit le NFT malveillant, déclenchant une fenêtre contextuelle du domaine de stockage d'OpenSea, demandant la connexion au portefeuille de cryptomonnaie de la victime (de telles fenêtres contextuelles sont courantes sur la plateforme pour diverses autres activités) ;
• la victime clique pour connecter son portefeuille, afin d'effectuer une action sur le NFT offert, permettant ainsi l'accès au portefeuille de la victime ;
• le hacker peut obtenir l'argent dans le portefeuille en déclenchant une fenêtre contextuelle supplémentaire, qui est également envoyée depuis le domaine de stockage d'OpenSea. L'utilisateur peut cliquer sur la fenêtre contextuelle s'il ne remarque pas la note dans la fenêtre contextuelle décrivant la transaction ;
• le résultat final pourrait être le vol de l'intégralité du portefeuille de cryptomonnaie d'un utilisateur.
  

Après avoir révélé le problème, Opensea a trouvé un correctif en moins d'une heure et la plateforme semble être sécurisée. Doit-on rappeler de ne pas accepter les « cadeaux » d'inconnus, en particulier lorsqu'il s'agit d'argent ?

« CPR a immédiatement et de manière responsable divulgué ses conclusions à OpenSea le dimanche 26 septembre 2021. En moins d'une heure de divulgation, OpenSea a résolu le problème et vérifié le correctif. CPR a travaillé en étroite collaboration avec l'équipe OpenSea pour s'assurer que le correctif fonctionnait correctement. OpenSea était très réactif et partageait des fichiers svg contenant des objets iframe de leur domaine de stockage, afin que CPR puisse les examiner également et s'assurer que tous les vecteurs d'attaque sont fermés ».

Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software a déclaré