Après avoir vu des rapports de portefeuilles cryptographiques volés déclenchés par des NFT gratuits, Check Point Research (CPR) a enquêté sur OpenSea, le plus grand marché NFT au monde. L'enquête a conduit à la découverte de vulnérabilités de sécurité critiques sur la plateforme d'OpenSea qui, si elles étaient exploitées, auraient pu conduire des hackers à détourner des comptes d'utilisateurs et à voler des portefeuilles cryptographiques entiers d'utilisateurs, en envoyant des NFT malveillants.Pour mémoire, un jeton non fongible (NFT, de l'anglais non-fungible token) est un type spécial de jeton cryptographique qui représente un objet numérique tels une image, une vidéo, un fichier audio, auquel est rattachée une identité numérique qui est reliée à un ensemble non vide de propriétaires. Contrairement aux cryptomonnaies, ils ne peuvent pas être négociés ou échangés à l'équivalence. C'est la raison pour laquelle ils sont dits non fongibles. Cela diffère des jetons fongibles comme les cryptomonnaies, qui sont identiques les uns aux autres et, par conséquent, peuvent être utilisés comme support de transactions commerciales. En gros, les NFT sont des jetons cryptographiques uniques qui existent sur une blockchain et ne peuvent être reproduits.
Les analystes sont d’avis que les NFT sont une évolution par rapport au concept relativement simple des cryptomonnaies. Les systèmes financiers modernes sont constitués de systèmes d'échange et de prêt sophistiqués pour différents types d'actifs, allant de l'immobilier aux contrats de prêt en passant par les œuvres d'art. En permettant la représentation numérique d'actifs physiques, les NFT constitueraient un pas en avant dans la réinvention de cette infrastructure. L'idée de représentations numériques d'actifs physiques n'est pas nouvelle, pas plus que l'utilisation d'une identification unique.
À titre d’illustration, un NFT pour une bouteille de vin permettra aux différents acteurs d'une chaîne d'approvisionnement d'interagir plus facilement avec elle et aidera à suivre sa provenance, sa production et sa vente tout au long du processus. Les NFT sont aussi jugés excellents pour la gestion de l'identité. Exemple : le cas des passeports physiques qui doivent être présentés à chaque point d'entrée et de sortie. En convertissant les passeports individuels en NFT, chacun ayant ses propres caractéristiques d'identification uniques, il est possible de rationaliser les processus d'entrée et de sortie des juridictions.
En élargissant ce cas d'utilisation, les NFT peuvent également être utilisés pour la gestion de l'identité dans le domaine numérique. Les NFT peuvent également démocratiser l'investissement en fractionnant les actifs physiques tels que les biens immobiliers. Il est beaucoup plus facile de diviser un bien immobilier numérique entre plusieurs propriétaires qu'un bien physique. Selon les analystes, cette éthique de la "tokenisation" ne doit pas être limitée à l'immobilier ; elle peut être étendue à d'autres actifs, comme les œuvres d'art. Par exemple, un tableau ne doit pas toujours avoir un seul propriétaire.
Attention, hacker !
Que les jetons non fongibles soient un phénomène de mode ou une véritable révolution, les opérateurs de logiciels malveillants sont déjà prêts à profiter de la technologie.
Check Point a lancé une enquête après qu'un certain nombre de portefeuilles cryptographiques appartenant à des clients de la plus grande plateforme d'échange NFT OpenSea (enregistrant un volume de transactions de 3,4 milliards de dollars américains rien qu'en août 2021) se soient mystérieusement vidés. Des chercheurs de Check Point ont découvert qu'une forme de NFT était en circulation, accompagnée de son propre package de logiciels malveillants.
Les gens recevaient des NFT gratuits d'un bienfaiteur inconnu, mais lorsqu'ils acceptaient le cadeau, les attaquants avaient accès aux informations de leur portefeuille dans les systèmes de stockage d'OpenSea. Le code a généré une fenêtre contextuelle qui, en cas de clic, permettait de vider les portefeuilles.
L'exploitation réussie des vulnérabilités aurait nécessité les étapes suivantes :
- le hacker crée et offre un NFT malveillant à une victime cible ;
- la victime voit le NFT malveillant, déclenchant une fenêtre contextuelle du domaine de stockage d'OpenSea, demandant la connexion au portefeuille de cryptomonnaie de la victime (de telles fenêtres contextuelles sont courantes sur la plateforme pour diverses autres activités) ;
- la victime clique pour connecter son portefeuille, afin d'effectuer une action sur le NFT offert, permettant ainsi l'accès au portefeuille de la victime ;
- le hacker peut obtenir l'argent dans le portefeuille en déclenchant une fenêtre contextuelle supplémentaire, qui est également envoyée depuis le domaine de stockage d'OpenSea. L'utilisateur peut cliquer sur la fenêtre contextuelle s'il ne remarque pas la note dans la fenêtre contextuelle décrivant la transaction ;
- le résultat final pourrait être le vol de l'intégralité du portefeuille de cryptomonnaie d'un utilisateur.
Après avoir révélé le problème, Opensea a trouvé un correctif en moins d'une heure et la plateforme semble être sécurisée. Doit-on rappeler de ne pas accepter les « cadeaux » d'inconnus, en particulier lorsqu'il s'agit d'argent ?
« CPR a immédiatement et de manière responsable divulgué ses conclusions à OpenSea le dimanche 26 septembre 2021. En moins d'une heure de divulgation, OpenSea a résolu le problème et vérifié le correctif. CPR a travaillé en étroite collaboration avec l'équipe OpenSea pour s'assurer que le correctif fonctionnait correctement. OpenSea était très réactif et partageait des fichiers svg contenant des objets iframe de leur domaine de stockage, afin que CPR puisse les examiner également et s'assurer que tous les vecteurs d'attaque sont fermés ».
Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point Software a déclaré :
« Notre intérêt pour OpenSea a pris naissance lorsque nous avons vu des discussions sur des portefeuilles cryptographiques volés en ligne. Nous avons supposé qu'une méthode d'attaque existait dans la nature autour d'OpenSea, nous avons donc lancé une enquête approfondie sur la plateforme d'OpenSea. Le résultat a été la découverte d'un moyen de voler les portefeuilles cryptographiques des utilisateurs, simplement en envoyant un NFT malveillant via OpenSea. Nous avons immédiatement et de manière responsable divulgué nos découvertes à OpenSea, qui a rapidement travaillé avec nous pour déployer un correctif. Je pense que les résultats de nos recherches et l'action rapide d'OpenSea empêcheront les vols de portefeuilles cryptographiques des utilisateurs. L'innovation blockchain est en cours et les NFT vont continuer d'exister. Compte tenu du rythme effréné de l'innovation, il existe un défi inhérent à l'intégration sécurisée des applications logicielles et des marchés de la cryptographie. Les mauvais acteurs savent qu'ils ont actuellement une fenêtre ouverte dont ils peuvent tirer parti, avec l'augmentation de l'adoption par les consommateurs, tandis que les mesures de sécurité dans cet espace doivent encore rattraper leur retard. La communauté de la cybersécurité doit se mobiliser pour aider les technologies pionnières de la blockchain à sécuriser les actifs cryptographiques des consommateurs. Nous exhortons la communauté OpenSea à faire attention aux activités suspectes pouvant conduire au vol, car nous pensons que les mauvais acteurs continueront à intensifier leurs efforts, afin de détourner les portefeuilles crypto tout en exploitant les vulnérabilités du système ».
OpenSea a déclaré :
« La sécurité est fondamentale pour OpenSea. Nous apprécions que l'équipe du CPR ait porté cette vulnérabilité à notre attention et collaboré avec nous alors que nous enquêtions sur le problème et mettions en œuvre un correctif dans l'heure suivant son signalement. Ces attaques auraient reposé sur l'approbation par les utilisateurs d'une activité malveillante via un fournisseur de portefeuille tiers en connectant leur portefeuille et en fournissant une signature pour la transaction malveillante. Nous n'avons pas été en mesure d'identifier les cas où cette vulnérabilité a été exploitée, mais nous coordonnons directement avec des portefeuilles tiers qui s'intègrent à notre plateforme sur la façon d'aider les utilisateurs à mieux identifier les demandes malveillantes de signature, ainsi que d'autres initiatives pour aider les utilisateurs à contrecarrer les escroqueries et le phishing avec une plus grande efficacité. Nous doublons également l'éducation de la communauté autour des meilleures pratiques en matière de sécurité et avons lancé une série de blogs sur la façon de rester en sécurité sur le Web décentralisé. Nous encourageons les nouveaux utilisateurs et les vétérans chevronnés à lire la série. Notre objectif est de permettre à la communauté de détecter, d'atténuer et de signaler les attaques dans l'écosystème de la blockchain, comme celle démontrée par CPR. »
Adoptera, adoptera pas ?
Valve a mis à jour la section Règles et recommandations dans l'utilisation de Valve, affirmant officiellement son opposition à l'utilisation de NFT ou de cryptomonnaies : sur Steam, vous ne devez pas publier « des applications basées sur la technologie blockchain qui émettent ou permettent l'échange de cryptomonnaies ou de NFT ». De son côté, Epic laisse la porte ouverte : « Epic Games Store accueillera les jeux qui utilisent la technologie blockchain à condition qu'ils respectent les lois pertinentes, divulguent leurs conditions et soient classés par âge par un groupe approprié. Bien qu'Epic n'utilise pas de crypto dans nos jeux, nous accueillons favorablement l'innovation dans les domaines de la technologie et de la finance ».
Rien de tout cela ne signifie que les développeurs rejetés par Steam peuvent se précipiter et lancer leur jeu sur Epic Game Store. Actuellement, le programme d'auto-édition d'Epic est en version bêta fermée, et la FAQ d'Epic indique qu'il choisit qui peut se joindre au « cas par cas ». Epic, cependant, s'est révélé être un propriétaire de plateforme assez permissif (ce qui est devenu un point de discorde dans son procès avec Apple lorsque des avocats ont évoqué les jeux « offensants et sexualisés » disponibles sur Itch.io, un magasin de jeux accessible sur la boutique de jeux d'Epic).
Autoriser les jeux interdits par Steam est un autre moyen pour Epic de rivaliser avec Valve. Epic a déjà montré qu'il était prêt à faire de gros paris en essayant de faire de son magasin un acteur majeur dans l'espace de jeu sur PC, et cela pourrait être un autre pari pour rallier certains joueurs ou développeurs. Certains fans de NFT se sont immédiatement tournés vers Epic après l'annonce de la nouvelle de Steam.
Mais cette différence dans la perspective relative au NFT illustre assez bien la position du monde technologique : les avis sur le sujet divergent énormément.
Les problèmes rencontrés comme celui-ci ou encore par la saga Evolved Apes ne participent pas à instaurer la confiance.
Evolved Apes était décrit sur la place de marché de NFT OpenSea comme « une collection de 10 000 NFT uniques de singes piégés sur un territoire sans loi ». « Ils se battent pour survivre, et seul le singe le plus fort l'emportera », pouvait-on lire, en référence au jeu de combat tant annoncé du projet, qui ne s'est pas matérialisé. En dehors de cela, il s'est avéré que tout le projet n'était qu'une escroquerie.
Une semaine après le lancement du projet le développeur anonyme connu sous le nom d'Evil Ape qui avait promis ce jeu a disparu, tout comme le compte Twitter et le site Web officiels du projet. Mais ils ont laissé des traces sur la blockchain qui montrent qu'ils ont siphonné 798 éthers (2,7 millions de dollars) des fonds du projet en plusieurs transferts. Ces fonds, issus de la vente publique initiale de NFT et de commissions sur le marché secondaire, étaient destinés à des dépenses liées au projet, comme le marketing. Les investisseurs d'Evolved Ape déclarent avoir remarqué plusieurs signaux d'alarme avant que Evil Ape disparaisse.
« Après la vente publique du 24 septembre, les annonces ont semblé suspectes de manque de professionnalisme et plusieurs des dirigeants n'étaient plus là. Mais ils ont mis cela sur le compte du manque d'expérience à l'époque », a déclaré un investisseur qui a requis l'anonymat en raison des retombées actuelles de l'escroquerie. « Je pense que cette tempête géante n'a jamais été ce à quoi l'on s'attendait », a-t-il déclaré. En outre, la communauté Evolved Apes a découvert que les gagnants d'un concours organisé par Evil Ape sur les réseaux sociaux (une activité marketing pour créer du buzz) n'avaient pas reçu leurs prix NFT du projet.
De plus, l'artiste du projet n'avait pas été payé non plus.
Source : Check Point
Et vous ?
Que pensez-vous des NFT dans l'absolu ? Êtes-vous intéressés par l'acquisition d'un NFT ou en avez-vous déjà acquis ? Ce genre de problème pourrait-il desservir la cause des NFT ou la perspective reste celle de l'inexistence du risque zéro en informatique ?Voir aussi :
Valve bannit de Steam les jeux qui utilisent la technologie blockchain ou permettent aux utilisateurs d'échanger des NFT, Epic se dit « ouvert » à l'idée de les accueillir Environ 90 % des NFT n'auront plus de valeur dans 3 à 5 ans, prévient Fred Ehrsam le cofondateur de Coinbase Le marché du NFT (jetons non fongibles) s'est effondré avec une baisse estimée à près de 90 %, le nombre de portefeuilles actifs a également chuté de près de 70 % Tim Berners-Lee vend le code source d'origine du Web pour 5,4 millions de dollars en tant que jeton non fongible, alors que certains pays déclarent les NFT comme étant sans aucune valeur sous-jacente 
