Les acheteurs de crypto-monnaie espérant obtenir une édition limitée NFT de Fractal ont découvert que le lien envoyé via le canal Discord officiel du projet était une arnaque configurée pour voler des éléments cryptographiques.
Les utilisateurs qui ont suivi le lien et les portefeuilles cryptographiques liés qui s’attendaient à recevoir NFT ont constaté que leurs avoirs cryptographiques Solana avaient été vidés et transférés sur le compte du fraudeur.
Une analyse publiée par Tim Cotten, fondateur d’un autre projet de jeu NFT, a estimé la valeur volée de Solana à 150 000 $.
Fractal est un projet émergent du cofondateur de Twitch, Justin Kahn, spécialisé dans l’achat et la vente de NFT qui sont des actifs dans le jeu.
Il a été annoncé en décembre et a rapidement rassemblé plus de 100 000 utilisateurs via Discord. La nouvelle a atteint Twitter lorsqu’un tweet des abonnés a signalé qu’un bot publicitaire via le serveur Discord de Fractal avait été piraté. Un autre tweet du compte principal de Fractal a confirmé qu’un lien frauduleux avait été publié via le canal.
L’attaque a profité aux utilisateurs qui espéraient créer des produits NFT. C’est le terme donné à l’achat de jetons au moment où ils sont générés pour la première fois par un projet particulier. Au lieu de l’acheter plus tard sur le marché secondaire.
Bien que le message du bot Discord soit faux. Mais le compte Twitter officiel de Fractal a publié il y a quelques heures un tweet faisant allusion à l’opération AirDrop, un processus dans lequel un projet de cryptographie distribue un certain nombre de jetons, généralement aux premiers utilisateurs.
Et puisque la demande d’opérations de frappe de crypto-monnaie et d’AirDrop est souvent très élevée. Presser les utilisateurs d’agir rapidement lorsque des annonces surprises sont publiées crée un environnement idéal pour les escrocs.
Le backtracking n’existe pas dans les crypto-monnaies
Alors que le cryptage derrière les crypto-monnaies et NFT est très sécurisé. Le vaste réseau de sites Web et d’applications qui composent l’écosystème cryptographique plus large contient de nombreux vecteurs d’attaque potentiels.
Un tweet du compte officiel Fractal indiquait que le message frauduleux avait été diffusé via Discord par Webhook.
Webhook est une fonctionnalité permettant de concevoir des applications Web. Il permet à une application d’écouter un message envoyé à une URL spécifique et de déclencher un événement de réponse en conséquence.
Si le Webhook n’est pas sécurisé par des procédures d’authentification supplémentaires, toute personne disposant de l’URL peut publier sur le canal. On ne sait pas quelles précautions, le cas échéant, l’équipe derrière Fractal a prises pour empêcher que cela ne se produise.
Au lendemain du piratage, le blog Fractal a annoncé que les victimes ayant perdu leur argent seraient intégralement indemnisées.