Mardi 21 décembre, deux projets NFT ont été victimes de la même attaque. Comme de nombreux projets dans le monde de la cryptographie, la collection NFT Monkey Kingdom et le marché des actifs du jeu Fractal se sont tous deux fortement engagés avec leurs communautés via les serveurs de discussion Discord. Les deux projets étaient sur le point de distribuer des récompenses aux membres de leur communauté : Monkey Kingdom via une prévente NFT le jour du 21 et Fractal via un airdrop symbolique – essentiellement une distribution gratuite aux premiers supporters – quelques jours plus tard.

Puis, la catastrophe a frappé. Des messages sont apparus dans la chaîne officielle « annonces » de chaque projet, affirmant qu’une menthe surprise récompenserait les membres de la communauté avec une édition limitée NFT. Des centaines de personnes ont sauté sur l’occasion, mais pour ceux qui ont suivi les liens et connecté leurs portefeuilles cryptographiques, une surprise coûteuse les attendait. Plutôt que de recevoir un NFT, les portefeuilles étaient vidés de la crypto-monnaie Solana, que les deux projets utilisaient pour les achats.

En l’espace d’une heure, une publication Twitter, d’abord de Monkey Kingdom puis de Fractal, a informé les abonnés que leurs serveurs Discord avaient été piratés ; les nouvelles des menthes NFT étaient fausses, les liens une fraude par hameçonnage. Dans le cas de Fractal, les escrocs se sont enfuis avec environ 150 000 $ de crypto-monnaie. Pour Monkey Kingdom, le total estimé était de 1,3 million de dollars.

Aucune des deux attaques n’a ciblé la blockchain ou les jetons eux-mêmes. Au lieu de cela, les voleurs ont exploité les faiblesses de l’infrastructure utilisée pour vendre les jetons, en particulier les salons de discussion Discord où se réunissent les fans de NFT. C’est un rappel d’une faiblesse persistante de l’économie croissante du NFT, où des baisses surprises ont incité les acheteurs à agir rapidement ou à risquer de passer à côté. Mais les mêmes techniques qui promeuvent une vente peuvent également ouvrir la porte aux pirates informatiques – et dans ce cas, un seul compromis peut finir par se propager à plus d’une communauté à la fois.

Dans ce cas, les voleurs de NFT avaient ciblé une fonctionnalité connue sous le nom de webhook. Les Webhooks sont utilisés par de nombreuses applications Web (Discord inclus) pour écouter un message envoyé à une URL particulière et déclencher un événement en réponse, comme la publication de contenu sur un certain canal. Vous pouvez considérer un webhook comme un numéro de téléphone secret, un identifiant unique qui peut être « appelé » (ou, dans une approximation plus proche, « envoyé par SMS ») pour se connecter à une application à l’autre bout.

En accédant aux webhooks appartenant aux serveurs Fractal et Monkey Kingdom Discord, les pirates ont pu envoyer des messages qui ont été diffusés à tous les membres de certaines chaînes : une fonctionnalité destinée à être utilisée uniquement pour les communications officielles des équipes de projet. C’était de là que venait la fausse « annonce » et pourquoi elle indiquait une adresse frauduleuse. Avec le recul, le contenu aurait dû soulever quelques drapeaux rouges – mais compte tenu de la méthode de distribution, il semblait juste assez légitime pour que beaucoup soient dupés.

Les webhooks Discord sont utilisés pour automatiser les messages en fonction des activités dans d’autres applications : par exemple, la documentation officielle décrit la création d’un bot qui notifie un canal des nouveaux commits GitHub. Mais il est facile de perdre la trace de ces robots au milieu des diverses intégrations de services tiers, et surtout, il n’y a aucun moyen de les désactiver tous en même temps si vous avez été piraté. Le résultat est une opportunité majeure pour les attaquants et une responsabilité pour toutes les communautés Discord qui ne font pas attention à leurs intégrations.

Un porte-parole de Discord a déclaré que la société a mis en garde les gens pour qu’ils soient prudents lorsqu’ils donnent à d’autres l’accès à leurs appareils et à leurs informations personnelles et a souligné les conseils mis à disposition via son centre de ressources Moderator Academy.

« Discord prend la sécurité de tous les utilisateurs et communautés très au sérieux, y compris les attaques d’ingénierie sociale comme celles-ci », a déclaré Peter Day, directeur principal des communications d’entreprise chez Discord. « Bien que des contrôles clairs soient en place, nous nous efforçons toujours de rendre plus difficile la survenue de ces attaques et continuerons d’investir dans l’éducation et les outils pour aider à protéger nos utilisateurs. »

L’origine du piratage semble avoir été un service appelé Grape Network, qui fournit des outils de gestion de communauté à Fractal, Monkey Kingdom et à des centaines d’autres projets de cryptographie utilisant Discord. Environ une semaine avant le vol de crypto-monnaie, un employé de Grape Network sous le nom d’écran Arximedis avait été victime d’une arnaque distincte sur un autre serveur Discord entièrement, celui-ci appartenant à Solana.

En manipulant d’abord un modérateur de Solana, puis Arximedis lui-même, via une attaque de phishing consistant à faire bannir la cible, les pirates avaient réussi à obtenir un jeton d’accès au compte leur permettant d’effectuer des actions pour le compte de l’administrateur de Grape. Il suffisait de les laisser créer une avenue pour envoyer des messages aux canaux Fractal et Monkey Kingdom Discord. Une fois les bases en place, les pirates se sont tus et ont attendu un moment pour frapper.

Le fondateur de Grape Network, Dean Pappas, a confirmé à The Verge que son collègue avait été la cible du piratage initial et que ce premier piratage avait été exploité pour créer les webhooks utilisés dans le second. « C’est l’une de ces choses qui vous blesse vraiment, à la fois en termes de fierté et de professionnalisme », a déclaré Pappas. « C’est une situation très difficile.

Dans un communiqué envoyé via Twitter, le chef du projet Monkey Kingdom (qui a demandé à être désigné sous le pseudonyme « Monkey King ») a déclaré que des mesures de sécurité supplémentaires avaient désormais été mises en place pour éviter de futures attaques et assurer la sécurité des utilisateurs. . Le Roi Singe a également pointé l’argent récolté par le projet pour rembourser les victimes de l’arnaque.

Les projets NFT sont particulièrement vulnérables à ce type d’attaque car ils évoluent très rapidement. Les projets à la mode se vendent souvent en quelques heures, voire quelques minutes, de sorte que les premiers utilisateurs sont conditionnés à agir rapidement. Et Discord, désormais la plate-forme incontournable pour les communautés NFT, est l’endroit où les premières informations sur les préventes et les parachutages sont publiées en premier. Cela signifie que les membres de la communauté sont prêts à sauter sur toutes les annonces qui leur donnent un avantage, ce qui, à son tour, permet aux escrocs d’exploiter les faux messages avec un effet dévastateur.

Dans les baisses les plus chaudes, faire une transaction réussie peut être difficile même pour les premiers déménageurs. Un examen de Chainalysis d’un projet populaire a montré que plus de 26 000 transactions menthe infructueuses ont eu lieu dans la première heure après le lancement, chacune d’entre elles ayant utilisé des frais de transaction non remboursables. Au total, plus de 4 millions de dollars ont été dépensés en frais d’essence pour des transactions infructueuses.

Rien n’indique encore que l’engouement pour le NFT ralentira en 2022, ce qui signifie qu’il n’y aura pas de pénurie de nouveaux projets cherchant à évoluer en utilisant des solutions prêtes à l’emploi pour construire leur infrastructure. Il y a des signes que Discord, le pouls social de la communauté NFT, est également une mine d’or pour les individus sans scrupules qui cherchent à séparer les marques de leurs pièces durement gagnées – mais peut-être que les techniques de modération et d’administration des serveurs dans la communauté s’améliorent, une gestion plus rigoureuse des zones à problèmes (comme les webhooks et les plugins tiers) réduira les risques.

La bonne nouvelle est que, pour les deux projets concernés par ce hack particulier, il peut y avoir des jours plus ensoleillés à venir. Fractal, le marché des actifs de jeu, a été mis en ligne l’avant-dernier jour de 2021. Et après avoir remboursé l’argent perdu par les membres, Monkey Kingdom relance la ligne NFT qui a été interrompue par le piratage. La communauté est fidèle, nous a dit le Monkey King, et les fans sont à nouveau prêts à conclure un accord.