Depuis le début des NFT, selon une étude du site d’analyse de crypto et de blockchain Elliptic, il y aurait eu plus de 100 millions d’euros de vols de NFT. Les recherches ont démontré que les hackers volent en moyenne 300 000 € par scam.
Des chiffres qui donnent le tournis
Les sommes récoltées par les voleurs en seulement quelques clics sont astronomiques. Selon le rapport, le NFT le plus précieux jamais volé est le CryptoPunk #4324, qui a été dérobé en novembre dernier avant d’être revendu pour 490 000 $. On peut voir sur la plateforme de vente de NFT Opensea que l’image a été signalée pour activité suspicieuse. Le prix à quant à lui chuté à 99 000$.
Le vol le plus important en une seule fois s’élève à 2.1M $ et concerne 16 NFT “blue chip” (des NFT reconnu comme étant stable et un bon investissement sur le long terme).
Certains NFT de la collection CloneX (#9650 et #5759) se sont vu également voler par des escrocs 2 fois en l’espace de 3 mois. Le prix de leur vente était supérieur à 50 000 $ à chacune de leur revente.
?Over $100 million worth of NFTs were publicly reported as stolen through scams between July 2021 and July 2022, netting perpetrators $300,000 per scam on average.
Head to https://t.co/u6iPLjXgpR to read our NFTs and Financial Crime Report.#nft #crypto #aml— Elliptic (@elliptic) August 24, 2022
Des techniques de vols peu scrupuleuses
Les voleurs de NFT utilisent différentes techniques pour arriver à leur fin. Une des plus répandues reste le phishing, une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles en se faisant passer pour un tiers de confiance. Ici les escrocs accèdent au wallet crypto de leur victime où ils peuvent effectuer une transaction irréversible.
C’est arrivé à l’acteur et producteur Seth Green qui s’est fait voler une partie de son wallet crypto. Le préjudice total s’élève à 190 000 € avec la disparition de 4 NFT dont un Bored Ape Yacht Club estimé à plus de 100 000 €, deux Mutant Apes et un Doodle. Le voleur a directement revendu son butin pour une valeur de 200 000 € alors que le nouveau propriétaire ne s’est pas exprimé sur l’affaire.
Well frens it happened to me. Got phished and had 4NFT stolen. @BoredApeYC @opensea @doodles @yugalabs please don’t buy or trade these while I work to resolve:@DarkWing84 looks like you bought my stolen ape- hit me up so we can fix it pic.twitter.com/VL1OVnd44m
— Seth Green (@SethGreen) May 17, 2022
Un autre investisseur s’est vu voler pour 500 000 $ de NFT tout simplement avec une simple image JPEG… Cela s’est passé sur la plateforme d’échange de NFT Swap.kiwi. Le vendeur a simplement ajouté une image JPEG similaire à des Bored Ape et l’acheteur s’est fait berner et a donc acheté une image et non un NFT.
La technique consiste juste à échanger de simples images contre des NFT sur des plateformes d’échange comme OpenSea, Rarible ou encore SuperRare. Les plateformes ont affirmé “mettre tout en œuvre” pour lutter contre ce genre de fraude.
Les escrocs ont également recours au cybersquatting ou domain squatting (cybersquattage en français). C’est une pratique consistant à enregistrer un nom de domaine correspondant à une marque, avec l’intention de le revendre ensuite à l’ayant droit, d’altérer sa visibilité ou de profiter de sa notoriété.
Certains scams s’effectuent par usurpation d’identité, c’est-à-dire substituer l’identité d’un utilisateur dans un système informatique, notamment dans le cas où cette opération est conduite de façon légitime par un opérateur accédant au compte d’un client dans le cadre d’une assistance utilisateur.
D’autres escroqueries sont propres au domaine des NFT, notamment via un cheval de Troie qui utilise les caractéristiques uniques d’un “smart contract” pour créer un jeton piégé. Si l’utilisateur l’accepte, le faux jeton pourra s’actionner pour immédiatement vider le compte sur lequel il est présent.
Blanchiment de fonds volés
Enfin, le site d’analyse de cryptos et de blockchain Elliptic a constaté que 52% des escrocs avaient recours à Tornado Cash. Ce dernier repose sur un smart contract qui s’occupe d’anonymiser les fonds, ce qui s’avère utile pour les voleurs de NFT.
Le service, qui a été inscrit sur la liste des sanctions américaines ce mois-ci, était “la source de 137,6 millions de dollars de crypto-actifs traités par les marchés NFT et l’outil de blanchiment pour 52% des produits des escroqueries NFT avant d’être sanctionné par l’OFAC (US Office of Foreign Assets Control) en août 2022 », déclare Elliptic. “Son utilisation prolifique par les escrocs nécessite un filtrage efficace des sanctions par les plateformes NFT.”