Par 
Les détenteurs de tokens Bored Ape Yacht Club ont de nouveau été pris pour cibles. Un hackeur a dérobé 91 NFT après la compromission du compte Instagram officiel du projet.
Les NFT de certaines collections comme Bored Ape Yacht Club sont très prisés. Et pas uniquement des collectionneurs de jetons non fongibles. Les pirates se montrent eux aussi intéressés par ces précieux tokens.
Les membres de la communauté BAYC viennent d’en faire de nouveau l’expérience. Début avril, c’est le compte Discord officiel de BAYC qui était piraté. Cette fois, c’est le compte Instagram.
This morning, the official BAYC Instagram account was hacked. The hacker posted a fraudulent link to a copycat of the BAYC website with a fake Airdrop, where users were prompted to sign a ‘safeTransferFrom’ transaction. This transferred their assets to the scammer’s wallet.
— Bored Ape Yacht Club (@BoredApeYC) April 25, 2022
Un faux airdrop pour leurrer les utilisateurs
Un airdrop de LAND, cela a de quoi allécher les utilisateurs alors que l’univers disposera bientôt de son propre métaverse. Sauf que le projet n’est pas encore opérationnel et qu’aucune distribution de territoires virtuels n’est prévue à ce stade.
Le message diffusé sur le compte Instagram officiel de Bored Ape Yacht Club était une escroquerie. Et celle-ci a été permise par le piratage du compte. BAYC émettait bien une mise en garde sur Twitter, mais trop tard.
Des utilisateurs avaient déjà été abusés. Ils avaient inconsidérément connectés leurs portefeuilles Ethereum afin de participer au faux airdrop. Loin de recevoir gratuitement des jetons LAND, les victimes ont été dépossédées de leurs NFT.
Selon des données de la blockchain, le hackeur à l’origine de l’attaque de type phishing a fait main basse sur 91 tokens non fongibles. Leur valeur totale est estimée à au moins 2,8 millions de dollars.
Des pratiques de sécurité pourtant “strictes”
Parmi les jetons dérobés figurent notamment 4 Bored Ape, 6 Mutant Ape et 3 Bored Ape Kennel Club – deux collections secondaires de Yuga Labs -. Le hack du Discord n’avait lui permis le vol que d’un seule Bored Ape.
Le piratage d’Instagram est donc une opération rondement menée pour le hackeur. Comment l’expliquer ? Par négligence de sécurité ? Sur Twitter, le cofondateur de Yuga Labs assure que la double authentification était activée sur le compte Instagram.
Nous sommes en contact avec les utilisateurs concernés et nous publierons un compte rendu complet de l’attaque dès que possible”, promet Garga.
« Les pratiques de sécurité entourant le compte IG étaient strictes de la part de Yuga. Rien d’important ne sera plus jamais posté sur Instagram », annonce-t-il encore. Sur le fil Twitter, un internaute s’étonne de la conservation de NFT de valeur sur un MetaMask plutôt que sur un wallet physique comme Ledger ou Trezor.
Suivez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram pour ne rien manquer.
