Le 4 juin, le populaire projet de token non fongible, ou NFT, Bored Ape Yacht Club (BAYC) a subi sa troisième attaque de sécurité cette année. Près de 142 Ether (ETH) (250 000 $) de NFT ont été volés après que des pirates ont eu accès au compte Discord d'un gestionnaire de communauté de BAYC et ont publié un message contenant un lien vers un faux site Web.

Le lien annonçait un don de quelques NFT gratuits pour une durée limitée aux utilisateurs qui connectaient leurs portefeuilles, lesquels étaient ensuite vidés de leurs NFT. Lors de deux occasions précédentes en avril, des pirates ont pénétré dans les pages Discord et Instagram de BAYC et ont réussi à siphonner 91 NFT, d'une valeur de plus de 1,3 million de dollars au moment de la deuxième tentative, via un lien de phishing. 

Comme l'a indiqué la société de sécurité blockchain CertiK, les pirates ont rapidement déplacé les fonds volés vers la plateforme d'obfuscation Tornado Cash, rendant impossible la traçabilité de tout autre flux de fonds sur la blockchain. Dans une déclaration à Cointelegraph, les sources de CertiK ont expliqué qu'aussi légitime que puisse paraître le projet, « les détenteurs de NFT doivent également se méfier fortement de toute personne prétendant offrir des actifs gratuits, car il peut souvent s'agir d'attaques de phishing. » En outre, CertiK a écrit :

«Dans le cas de l'attaque du 4 juin, la copie carbone du site malveillant présentait quelques petites différences. Tout d'abord, il n'y avait aucun lien vers des sites de médias sociaux sur le site de phishing. Il y avait également un onglet supplémentaire intitulé "réclamer des terres gratuites" et visant spécifiquement les projets populaires de NFT.»

Par mesure de précaution, Certik a recommandé aux amateurs de cryptomonnaie de rechercher les particularités subtiles sur ces sites, car elles sont fréquemment un indicateur d'activité malveillante. «Au minimum, les utilisateurs qui s'engagent dans de tels cadeaux devraient toujours faire l'effort de confirmer la légitimité du site en le comparant à un site connu et confirmé et en recherchant toute anomalie », ont-ils conclu.