En février 2022, OpenSea a été la victime d'une importante attaque par phishing qui a entraîné le vol de plus de 1,7 million de dollars de tokens non fongibles (NFT) aux utilisateurs. Il ne s'agissait pas du seul incident : Les utilisateurs de blockchain auraient perdu 3,9 milliards de dollars dans des activités frauduleuses rien qu'en 2022.
À l'aube de 2023, les promesses de renforcer la sécurité dans l'espace crypto se sont multipliées. Mais, jusqu'à présent, les choses n'ont pas beaucoup changé. Les entreprises qui utilisent la blockchain ne font toujours pas assez d'efforts pour prévenir les escroqueries.
Si la technologie blockchain doit être adoptée en masse, les entreprises devront changer leur approche en partant de la base. En se concentrant sur l'éducation et en mettant en œuvre de meilleurs processus pour identifier les activités malveillantes, ces plateformes peuvent mieux servir leurs clients alors que l'espace continue de se développer.
Les plateformes de blockchain doivent apprendre à identifier les activités malveillantes.
Dans le cas du piratage d'OpenSea, les victimes ont été invitées à signer un contrat incomplet, apparemment à la demande de la plateforme. Bien que l'infrastructure centrale d'OpenSea n'ait pas été piratée, les faux comptes ont pu tirer parti du protocole open-source Wyvern. Les pirates ont ensuite pu utiliser la signature du propriétaire pour être transférés vers un faux contrat qui leur donnait la propriété sans avoir à payer les NFT.
À lire également : 10 prédictions pour la crypto en 2023
OpenSea est récemment revenu sur certaines de ses politiques précédentes, après qu'il a été signalé que 80 % des NFT créés gratuitement sur la plateforme étaient plagiés ou des spams. OpenSea s'appuie également sur la confiance dans les développeurs qui utilisent son API, ce qui n'est pas un moyen infaillible d'évaluer le risque. Ces développeurs pourraient utiliser l'API à des fins malveillantes pour profiter des utilisateurs qui signent des contrats qu'ils ne lisent pas.
Les smart contracts font partie intégrante du moteur de la blockchain et on les trouve partout, des exchanges de NFT aux véritables applications décentralisées. Il est impératif de comprendre le fonctionnement de ces contrats pour assurer la sécurité des utilisateurs. Plutôt que de réinventer la roue, les entreprises peuvent mettre en œuvre des protocoles standard pour garantir la résilience des smart contracts et les protéger des activités malveillantes. À partir de là, les entreprises peuvent tirer parti de la nature flexible de la blockchain et personnaliser leur contrat, comme la mise en place de portefeuilles multisignatures et de tests unitaires réguliers.
Méfiez-vous des airdrops de spams
Si vous recherchez la collection populaire Mutant Hounds figurant dans le top des collections d'OpenSea, rien n'indique quelle collection est légitime. L'absence de vérification peut conduire à la création de collections contrefaites, dont le prix augmente artificiellement pour donner l'impression d'être légitime et qui sèment la confusion chez les utilisateurs. Les fausses collections sont souvent distribuées par le biais d'airdrops, destinés à être trouvés par la fonctionnalité de recherche d'une plateforme NFT.
Les collections frauduleuses peuvent également envoyer aux utilisateurs des NFT qu'ils n'ont pas demandés par le biais d'airdrops. Les utilisateurs seront redirigés non pas par la plateforme où ils détiennent une collection, comme OpenSea, mais via un site différent, où l'arnaque se produit.
Il s'agit d'un risque courant auquel les plateformes peuvent remédier en surveillant ce type d'activité, soit par le biais d'une base de données alimentée par la foule qui suit les comptes frauduleux, soit par le biais d'un outil administratif qui sait ce qu'il faut rechercher et qui est constamment informé des escroqueries mises à jour. En outre, les plateformes NFT peuvent exiger que les offres soient dans la même devise que l'annonce afin d'éviter toute confusion. De nombreux utilisateurs ont été arnaqués en acceptant une offre dans une devise de moindre valeur que celle dans laquelle ils ont mis le NFT en vente. Les plateformes blockchain peuvent s'appuyer sur les données pour exposer leurs valeurs aberrantes en signalant les activités suspectes sur la base d'une activité irrégulière parmi un petit nombre de détenteurs.
Bien sûr, il faut noter que des entreprises comme OpenSea sont dans la position délicate de devoir faire la police des comptes frauduleux qui font du minting sur leur plateforme. Dans de nombreux cas, cela se résume à un besoin de vérification accrue de la collection officielle.
Le processus d'embarquement fait partie intégrante du plan d'affaires
Pour les utilisateurs vétérans et novices, le processus d'intégration devrait être un élément essentiel de l'expérience de la blockchain. À l'instar des smart contracts, l'établissement de guides d'utilisation clairs et la mise en évidence des risques potentiels doivent être considérés comme l'une des meilleures pratiques fondamentales pour garantir la sécurité des utilisateurs. Ces guides devraient être régulièrement révisés, en tenant compte de l'évaluation des risques, et ajustés en conséquence au fur et à mesure de la maturation de la blockchain.
Parmi les utilisateurs expérimentés, l'initialisation "DYOR" est monnaie courante sur la blockchain. Abréviation de "faites vos propres recherches", cette expression est devenue une règle tacite pour ceux qui interagissent avec des opportunités d'investissement potentielles. Pourtant, il peut être difficile pour les nouveaux arrivants de savoir précisément par où commencer. Il y a un ensemble d'informations discordantes provenant d'influenceurs dans le domaine, qui font souvent la promotion de la prochaine grande chose et encouragent les investissements risqués, ce qui fait que les utilisateurs sont victimes d'escroqueries ou perdent leurs actifs. Des directives et du matériel éducatif devraient être facilement disponibles, adaptés au système de valeurs et aux risques propres à chaque plateforme.
Les meilleures pratiques devraient être une priorité pour toutes les plateformes blockchain
Alors que la communauté blockchain traverse actuellement une période difficile, les entreprises devraient tirer les leçons des piratages majeurs comme ceux d'OpenSea, et affiner leurs protocoles de sécurité pour éviter que cela ne se reproduise. Apprendre les tenants et les aboutissants de la technologie de base, des smart contracts à la façon de protéger sa phrase de démarrage, devrait être le point de départ. De là, il faut apprendre à mettre en œuvre et à maintenir les meilleures pratiques, comme l'identification des activités malveillantes et de celles qui causent des ravages. Il aurait peut-être suffi que quelqu'un remarque que quelque chose ne tournait pas rond pour empêcher certains des plus récents piratages à grande échelle.
Cet article est destiné à des fins d'information générale et n'est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d'investissement. Les points de vue, réflexions et opinions exprimés ici n'engagent que l'auteur et ne reflètent ni ne représentent nécessairement ceux de Cointelegraph.