Des investisseurs ont vu leurs NFT être transférés à un prix inférieur à celui qu’ils avaient paramétré. Tandis que des fraudeurs créent des tokens en intégrant directement des fonctions d’arnaque dans le code du « smart contract ».
Si vous comptez investir dans les cryptoactifs, faites bien attention, car les chausse-trappes se multiplient à grande vitesse. Chaque semaine, on découvre de nouvelles failles informatiques qui permettent à des hackers de réaliser des vols ou des arnaques. Le dernier exemple en date concerne OpenSea, une plate-forme dédiée au commerce de jetons non fongibles (NFT).
Durant ces dernières semaines, des utilisateurs malveillants ont réussi à acheter des NFT pour un prix inférieur à celui qui était affiché, puis à les revendre avec un profit bien juteux. C’est ainsi qu’un acheteur a pu mettre la main sur un exemplaire de Bored Apes — des dessins numériques de singes qui se vendent comme des petits pains — pour seulement 0,77 éther (1 760 dollars), avant de le revendre derechef pour 84,2 éthers (192 000 dollars).
Le problème réside à la fois au niveau du back-office d’OpenSea, et dans la manière dont fonctionne les smart contracts, ces codes informatiques qui régulent les transactions sur la blockchain Ethereum.
Quand un utilisateur crée une nouvelle offre de vente en définissant un nouveau prix, les anciennes offres restent valides tant qu’elles n’ont pas été invalidées publiquement sur la blockchain Ethereum.
Le souci — comme l’explique l’informaticien Rotem Yakir sur Twitter — c’était que l’interface d’OpenSea permettait de définir un nouveau prix pour un NFT, sans pour autant réaliser cette transaction d’invalidation (qui coûte des frais de transaction de plusieurs dizaines d’euros).
Les utilisateurs avaient donc l’impression d’avoir modifié le prix de leur objet virtuel sans savoir que les précédents prix restaient valables ! Certes, ces derniers n’étaient plus affichés, mais ils étaient toujours stockés dans la base de données d’OpenSea et restaient accessibles par des requêtes sur l’interface de programmation. Ce qui n’est pas passé inaperçu aux yeux des quelques petits malins. Mais même si OpenSea avait effacé les anciens prix de sa base de données, le risque de se faire avoir n’aurait pas disparu. Car une offre de vente est un ensemble de données signées par le propriétaire que n’importe qui peut télécharger et sauvegarder.
Des frais de transfert de 99%
Mais attention, non seulement il y a des hackers qui exploitent des failles dans les cryptoactifs, il y a aussi des fraudeurs qui créent des tokens avec des portes dérobées, comme ont pu le constater les chercheurs en sécurité de Check Point. Dans une note d’analyse, ils ont décortiqué les smart contracts de plusieurs cryptoactifs et identifié des fonctions d’arnaque.
Le token MetaMoonMars, par exemple, va systématiquement appliquer des frais de transfert incroyablement élevés, à hauteur de 99 %. Autre exemple : le token « Mini Basketball » est codé de telle manière à rendre impossible toute revente, sauf pour ses créateurs. D’autres tokens incorporent également la possibilité pour les développeurs de créer des tokens par le simple appel d’une fonction qui leur est réservée. On n’est jamais mieux servi que par soi-même.
À ce niveau-là, il devient franchement difficile pour un investisseur d’éviter les pièges, à moins d’être capable d’analyser en détail le code des smart contracts. Ce qui n’est clairement pas à la portée de chacun.
« Si vous souhaitez investir dans les cryptoactifs à l’avenir, assurez-vous de n’utiliser que des places de marché dignes de confiance et de n’acheter que des tokens connus qui ont déjà un historique de transactions », recommande Check Point.
Sources : The Record, Check Point