Lundi dans l’après-midi, le Bored Ape Yacht Club a annoncé que son compte Instagram avait été piraté et qu’un lien frauduleux avait été partagé par le hacker.
44 utilisateurs auraient été victimes du scam et le butin total du hacker pourrait approcher les 2,4 millions de dollars selon une estimation, dont un million provient de Bored Ape volés.
Plusieurs dizaines de victimes
Plus tôt dans la semaine, un post sur le compte Instagram officiel du Bored Ape Yacht Club (BAYC), une collection de NFT ultra-populaire et plébiscitée par les influenceurs et les célébrités, promettait un « airdrop ». Les airdrops sont une tactique marketing populaire dans le domaine, qui consiste pour les développeurs d’un projet à offrir gratuitement des jetons à des utilisateurs, souvent pour promouvoir une nouvelle collection ou un nouveau projet. Attirés par l’appât du gain, les NFT du BAYC s’arrachant généralement pour plusieurs centaines de milliers de dollars, plusieurs utilisateurs ont cliqué sur le lien de la publication pour obtenir ce qu’ils pensaient être un jeton gratuit. En réalité, le compte avait été piraté et le lien appartenait à un hacker.
En connectant leurs portefeuilles MetaMask et en confirmant la transaction sur le site frauduleux, les utilisateurs ont vu leurs NFT disparaître et être transférés sur le compte du scammer. Malgré l’avertissement du Bored Ape Yacht Club sur son compte Twitter et sur ses autres canaux de communication, le hack aurait fait plusieurs dizaines de victimes. Comme visible sur Rarible, le portefeuille du hacker contient des centaines de NFT, dont quatre Bored Ape, qui valent à eux seuls plus d’un million de dollars. D’après Molly White de Web3 is Going Great, 44 personnes auraient été victimes de l’arnaque et le butin amassé par le hacker s’élèverait à 133 NFT, qui correspondraient à environ 2,4 millions de dollars au total.
Un hack encore mystérieux
Comment l’accès au compte Instagram du Bored Ape Yacht Club a-t-il été obtenu par le pirate ? Ce n'est pas encore clair. Dans un thread, les créateurs de la collection indiquent qu’ils suivaient les « meilleures pratiques » en matière de sécurité pour leur compte, et que l’authentification à double facteur était activée. Ils indiquent également travailler avec l’équipe du réseau social pour déterminer comment leur compte a pu être compromis. En attendant, l’accès au compte a été récupéré par le collectif, qui a supprimé les liens frauduleux.
Pour le moment, le groupe n’a pas parlé publiquement de compensation pour les victimes, mais elles sont invitées à le contacter via une adresse mail mise à leur disposition. Ils profitent également de ce thread sur Twitter pour rappeler leurs pratiques. Ils indiquent qu’aucun mint ne sera annoncé en priorité sur les comptes Instagram de leurs projets et que les informations officielles sont publiées sur leurs comptes Twitter et vérifiées par un message sur leur Discord.
Sources : The Verge, Web3 is Going Great, Twitter
