Comment protéger et sécuriser votre collection de NFT

Conseils de sécurité pour les collectionneurs NFT

En 2021, les NFT ont explosé auprès du grand public. Le marché des tokens non fongibles a connu une croissance exponentielle, avec des volumes d’échange atteignant des sommets et des NFT de premier ordre se vendre pour des millions de dollars. L’année dernière, les ventes de NFT ont atteint 25 milliards de dollars, tandis que des plateformes telles qu’OpenSea continuent de susciter un intérêt énorme de la part des utilisateurs aguerrit comme auprès des nouveaux adoptants. L’effervescence qui entoure les objets de collection numérique a incité des célébrités comme Jay-Z et Paris Hilton à adopter des projets tels que les CryptoPunks ou les Bored Ape Yacht Club, alimentant ainsi la demande.

Grâce à la hausse des prix des NFT les plus recherchés, les NFT ont attiré de nombreux escrocs et hackers. Ces opportunistes utilisent des plateformes de médias sociaux comme Discord, Twitter et Telegram pour cibler les collectionneurs vulnérables et tenter de voler leurs pièces les plus précieuses. À mesure que l’intérêt pour cette technologie grandit, les investisseurs en NFT doivent se tenir au courant des meilleures pratiques en matière de sécurité opérationnelle. Il est temps de rentrer dans le vif du sujet en vous donnant les mesures de bases que les propriétaires de NFT doivent prendre pour protéger leurs collections.

Assurer la sécurité de votre portefeuille

Les collectionneurs de NFT peuvent perdre leurs avoirs si des pirates ont accès à la seed phrase de leur portefeuille, qui est une chaîne de mots privée donnant accès à un portefeuille de crypto-monnaies.

Les propriétaires de NFT doivent donc prendre des précautions pour s’assurer que leur phrase de récupération reste toujours sécurisée. Les porte-monnaie matériels tels que Ledger et Trezor sont largement considérés comme l’un des moyens les plus sûrs de stocker des actifs cryptographiques. Les portefeuilles matériels sont une forme de portefeuille de stockage dit « froid » car ils sont stockés hors ligne contrairement aux portefeuilles « chauds » comme MetaMask. A l’inverse des hot wallets, les hardware wallets stockent la clé privée dans l’appareil. Pour effectuer une transaction avec un portefeuille matériel, l’utilisateur doit avoir l’appareil en main pour confirmer la transaction, ce qui rend l’accès beaucoup plus difficile pour les pirates. Pour quiconque possède une collection de NFT de valeur, les portefeuilles matériels constituent sans aucun doute l’une des meilleures options de stockage.

Il est également essentiel de veiller à ce que la phrase de récupération de tout portefeuille qui stocke des NFT soit sécurisée hors ligne dans un endroit sûr. Certains utilisateurs choisissent de répartir leur phrase de récupération sur plusieurs endroits géographique (une partie chez les parents, l’autre chez le frangin, par exemple) pour ajouter une couche supplémentaire de sécurité. Des matériaux durables comme le titane et l’acier sont parfois utilisés pour stocker les phrases de récupération.

Vous l’aurez compris, il est extrêmement risqué de stocker des seed phrases sur des appareils connectés à Internet dans lecas où l’appareil serait compromis. En ce sens, Metamask n’est pas un moyen des plus sur puisque connecté par défaut par l’intermédiaire de votre navigateur, s’agissant d’une extension Chrome.

Vérification des NFT avant la frappe (le mint) ou l’achat

Les collectionneurs de NFT doivent toujours faire preuve de diligence raisonnable pour savoir si un NFT est authentique avant d’acheter une collection. Cela peut contribuer à réduire le risque d’acheter un NFT contrefait. Sur OpenSea, les collections officielles reçoivent généralement la mention « vérifié » dès que leur volume d’échange dépasse 100 ETH.

Au moment de la frappe des NFT (on appel cette action le « mint » de NFT), les collectionneurs doivent également vérifier qu’ils sont connectés au bon site Web. Les escrocs ont pour habitude de cloner des sites Web en apportant une légère modification au nom de domaine d’origine dans le but de voler des crypto-actifs. Lorsque vous achetez des collections NFT récentes sur des marchés secondaires comme OpenSea ou Rarible, il est important de vérifier si le contrat intelligent du projet provient de l’équipe officielle.

En octobre 2021, un hacker anonyme a piraté de manière mémorable le serveur Discord du projet CreatureToadz. Se faisant passer pour un administrateur, il a annoncé une fausse collection NFT, ce qui a suffi à inciter les membres de la communauté à lui envoyer plus de 340 000 dollars en Ethereum. Bien que les fonds aient été restitués à l’équipe par la suite, l’incident a souligné l’importance de vérifier les contrats intelligents officiels.

À plusieurs reprises, des fraudeurs ont également utilisé le nom d’artistes célèbres pour tromper les investisseurs. Un escroc est allé jusqu’à pirater le site Web de Banksy pour poster un lien vers une œuvre ; celle-ci s’est vendue 336 000 dollars en Ethereum.

Attention aux attaques par « honeypot », via des logiciels malveillants ou par phishing

L’une des façons les plus courantes pour les escrocs de cibler les collectionneurs de NFT est l’attaque par phishing. Les pirates utilisent également des « honeypot » pour attirer les investisseurs. Dans ce type d’attaque, ils envoient de faux airdrop aux détenteurs de NFT pour les inciter à réclamer leur tokens. Cependant, lorsque la victime procède à la réclamation, elle interagit avec un contrat intelligent malveillant qui lui demande la permission de dépenser ses actifs. Si elle accorde par inadvertance l’autorisation au contrat, celui-ci peut vider les actifs de son portefeuille. Beaucoup de débutants cliquent sur « suivant » lorsque Metamask s’ouvre devant eux sans même procéder a la lecture du message (un peu à l’image des condition générales que personnes ne lit lorsqu’ils s’inscris sur un site).

En décembre 2021, le collectionneur de NFT Todd Kramer, basé à New York, a perdu 2,2 millions de dollars de NFT dans une attaque de phishing. Il a interagi avec un contrat de phishing déguisé en application authentique, laissant son portefeuille exposé au piratage. Son portefeuille contenait des NFT provenant des collections Bored Ape Yacht Club, Mutant Ape Yacht Club et CloneX…

Il est également possible pour les pirates d’utiliser des logiciels malveillants pour obtenir un accès par une porte dérobée aux ordinateurs ou smartphone des victimes. Les pirates envoient souvent des liens malveillants qui déploient immédiatement ces logiciels malveillants et peuvent prendre le contrôle des ordinateurs. Les hackers peuvent alors extraire la clé privée des portefeuilles chauds comme MetaMask et retirer tous les NFT et autres actifs.

Comme les pirates s’attaquent fréquemment aux investisseurs sur des applications de médias sociaux comme Discord, il est important d’être vigilant lorsqu’on interagit avec quelqu’un en ligne. Les collecteurs de NFT doivent toujours vérifier l’identité d’une personne avant d’interagir avec elle et éviter de cliquer sur tout lien suspect.

Protection de votre vie privée

Les collectionneurs de NFT affichent souvent leurs NFT dans leurs avatars sur les médias sociaux (Twitter vient de mettre en place une fonctionnalité qui permet aux utilisateurs de prouver qu’ils sont propriétaires de leur avatar NFT, et Meta devrait bientôt proposer une fonctionnalité similaire). Ca peut paraitre être une bonne idée au premier abords, mais l’utilisation d’avatars NFT ou de noms de domaine lisibles par l’homme comme Ethereum Name Service peut faciliter l’identification par les pirates des investisseurs qu’ils souhaitent cibler.

Comme la blockchain rend toutes les données transactionnelles et de portefeuille disponibles, les entités malveillantes peuvent facilement suivre les collecteurs qui possèdent des NFT de valeur s’ils partagent des détails de leurs adresses sur les médias sociaux. Cela peut conduire à des attaques de phishing ciblées ou à des menaces physiques.

Les investisseurs en NFT doivent également prêter attention aux vulnérabilités qui peuvent entraîner une fuite de leurs informations privées. Récemment, un cryptographe a découvert un bug dans MetaMask qui pourrait permettre aux pirates d’accéder aux adresses IP des utilisateurs sur les appareils mobiles. MetaMask affirme être conscient du problème mais doit encore le résoudre.

Réflexions finales

La popularité des NFT s’est accrue, tout comme l’appétit des escrocs qui cherchent à voler des pièces de valeur aux collectionneurs. Nombre de ces attaquants utilisent des méthodes sophistiquées pour cibler les investisseurs. Il est donc essentiel pour toute personne active dans le domaine des NFT de toujours prendre les précautions nécessaires et de faire preuve de diligence raisonnable pour protéger ses collections. Comme toujours, les investisseurs doivent être conscients que les NFT sont une technologie naissante dans un environnement risqué. En tant que tels, les utilisateurs doivent toujours faire preuve de prudence et suivre les pratiques de sécurité opérationnelles lorsqu’ils investissent.