Avec la montée des prix de certaines collections NFT, les pirates informatiques ont trouvé une nouvelle mine d’or. Ces images d’art certifiées numériquement peuvent valoir une fortune et attisent généralement les convoitises malveillantes. Récemment, la justice française a mis la main sur 5 pirates français ayant volé pour 2.5 millions d’euros en jetons non-fongibles, parmi lesquels se trouvent certaines pièces de la célèbre collection Bored Ape Yacht Club (BAYC).
5 personnes mises en examen pour avoir volé des NFT
Dans la journée d’hier, cinq résidents français âgés de 19 à 24 ans ont été mis en examen à la suite d’une suspicion de vol organisé de NFT. En effet, les intéressés sont accusés d’avoir dérobé la propriété de plusieurs jetons non-fongibles.
À titre de rappel, un NFT, est en quelque sorte un certificat de propriété virtuel émis sur une blockchain (en l’occurrence Ethereum). En exploitant cette technologie, les NFT donnent des droits de propriété associés à un « objet » dans un registre virtuel, consultables par tout le monde. Cette technologie a largement été utilisée dans l’art numérique en créant la bulle spéculative que l’on a connue dernièrement.
Les cinq individus auraient donc trouvé un moyen pour récupérer frauduleusement la propriété d’un bon nombre de NFT issus de plusieurs collections populaires. Parmi celles-ci, on retrouve notamment des singes de la collection prisée : Bored Ape Yacht Club. Depuis le début de leurs activités illicites, fin d’année 2021, on estime que les jeunes pirates informatiques ont accumulé un butin de 2,5 millions d’euros selon le parquet de Paris à l'AFP. Si l’enquête doit encore s’étoffer avec l’arrivée de nouveaux éléments, on en sait déjà beaucoup quant au mode opératoire…
Un compte Twitter traque les escrocs aux NFT
Bien que le parquet de Paris ait ouvert une enquête le 23 août dernier, l’affaire ne date pas d’hier. En effet, l’investigation commence en 2021.
À cette époque, un certain ZachXBT se penche sur des transactions préoccupantes de NFT Bored Ape Yacht Club. Il importe de rappeler que ces images de singes, valant plusieurs centaines de milliers d’euros, sont généralement la cible d’attaques frauduleuses – et il s’agit généralement de modes opératoires simplistes.
À travers ses recherches, l’enquêteur en herbe découvre que les individus utilisent un site d'hameçonnage dans le but de récupérer les NFT des victimes. Le site sous couverture offrait notamment la possibilité aux propriétaires de ces jetons de transformer une image statique en un gif animé. Partagé dans plusieurs serveurs Discord, dont celui des Bored Ape, le site a permis aux attaquants de récupérer les NFT lorsque qu’un individu y connectait son portefeuille.
Au total, le parquet de Paris a identifié cinq victimes. Parmi-elles, le collectionneur Dilly Dilly s’est fait voler 3 NFT, dont un Bored Ape à presque 1 million d'euros.
Afin de brouiller les pistes, les jeunes pirates revendaient leur butin dans la foulée et déposaient les fonds en cryptomonnaies dans des protocoles comme Tornado Cash - permettant d’anonymiser les transactions.
Malgré leurs précautions, ZachXBT a su remonter la trace des escrocs. Pour ce faire, il a tout simplement vérifié le code source du site web d’hameçonnage. Dans celui-ci, il était indiqué un pseudo telegram qui a ensuite permis d’identifier les réseaux sociaux de plusieurs pirates. Une fois les preuves en main, le fameux ZachXBT a transmis les informations aux autorités compétentes.
NEW ARTICLE LIVE: Tracking down French phishing scammers that’ve stolen millionshttps://t.co/BHBHBGGobH
— ZachXBT (@zachxbt) August 8, 2022
Cet événement rappelle que les NFT sont devenus des cibles de choix après leur montée en valeur. Ainsi, pour se prémunir de ce genre de risque, si vous êtes collectionneur, il est essentiel de ne pas connecter son portefeuille crypto sur des sites douteux – et encore moins d'approuver l’exécution de contrats intelligents.