Les ventes de NFT (non-fungible token), ces certificats numériques inscrits dans la blockchain, une technologie destinée à garantir la sécurité des transactions, et adossés à une photo, un texte ou une vidéo, ont beau avoir plongé de 75 % au premier trimestre 2022, l’appétit des voleurs, lui, ne faiblit pas. D’après un rapport publié le 24 août par Elliptic, une société de recherche sur les blockchains, plus de 100 millions de dollars (100,3 millions d’euros) de NFT ont été dérobés en un an. Rien qu’en juillet, pas moins de 4 600 NFT se sont volatilisés. Un chiffre probablement sous-estimé car les vols les plus mineurs sont rarement rendus publics.
D’après Elliptic, la place de marché OpenSea a même conseillé à sa communauté de désactiver la messagerie directe Discord en raison d’une « surabondance d’escrocs ». Les braqueurs numériques ciblent surtout les NFT les plus populaires. Les vols de « Bored Apes Yacht Club », ces images de primates blasés générées aléatoirement par un algorithme de manière à donner à chacune une légère singularité, sa variante « Mutant Apes », mais aussi la série « Azuki », avatars dessinés façon manga, une déclinaison du même ordre baptisée « Clone X », ainsi que les parcelles dans le métavers Otherside, représentent les deux tiers des délits.
En décembre 2021, le marchand d’art new-yorkais Todd Kramer racontait sur Twitter s’être fait dépouiller de quinze « Bored Apes ». Quatre mois plus tard, c’était au tour de l’auteur-compositeur-interprète taïwanais Jay Chou de se faire dérober l’un de ces précieux jetons. La blockchain n’est-elle pourtant pas réputée inviolable et infalsifiable ? « Le problème, ce n’est pas la technologie blockchain, mais les mauvaises habitudes de cybersécurité », explique le collectionneur Brian Beccafico, avant de détailler les erreurs de débutants : « Utiliser le même mot de passe pour des sites différents, se connecter à des réseaux non sécurisés, avoir une copie virtuelle de la clé de sécurité de son portefeuille sur son ordinateur alors qu’il faut l’avoir hors ligne… »
Escroquerie aux investisseurs
L’une des méthodes les plus courantes d’hameçonnage consiste à imiter le nom de domaine et le visuel d’une plate-forme NFT bien connue, en jouant sur une similitude qui peut facilement prêter à confusion. Quelques minutes de distraction, trop de précipitation, et le tour est joué. D’autres piratages sont bien plus sophistiqués. « Les hackeurs gagnent la confiance des usagers en se faisant passer pour un agent de support pour régler un problème technique ou en piratant la messagerie Discord ou le compte Instagram d’une communauté », ajoute Gaspard Broustine, responsable de projet chez Ledger, leader de la conservation de cryptomonnaies sur un support physique.
D’après Elliptic, les atteintes à la sécurité par l’intermédiaire des réseaux sociaux sont en nette progression, jusqu’à représenter 23 % des vols de NFT. Il est aussi une dernière pratique frauduleuse, qu’évoque cette étude : l’escroquerie aux investisseurs. Les cybercriminels lancent des projets de NFT qui ont l’apparence d’investissements viables, lèvent de l’argent auprès des usagers crédules, avant de se volatiliser du jour au lendemain avec les fonds collectés. Adieu veaux, vaches et cryptomonnaies…