Le discord BAYC hacké : plus de 200 ETH volés

Le hackeur a profité d’une faille de sécurité afin de subtiliser l’équivalent de plus de 350 000 dollars sur le serveur Discord du Bored Ape Yacht Club. Cet événement a suscité l’indignation et l’énervement de Gordon Goner, co-fondateur de BAYC. Celui-ci a pointé du doigt le manque de sécurité de la plateforme et l’accuse d’être responsable de ce hack, touchant à la fois BAYC et Otherside. Mais peut-on vraiment jeter la faute sur Discord ?

Comment ce hack a-t-il eu lieu ?

Comme la plupart des hacks prenant place sur Discord, cet événement déplorable a eu lieu suite à une attaque au phishing. En clair, le compte du Community Manager Discord du projet, Boris Vagner, a été piraté par l’escroc. Ce dernier s’est ensuite servi de ce compte afin de poster un lien menant vers un supposé giveaway sur les salons officiels du serveur.

Bien sûr, il ne s’agissait en aucun cas d’un lien officiel et chaque personne signant une transaction avec son portefeuille était totalement exposée, risquant de se faire vider son wallet. Finalement, le hackeur a eu le temps de voler 32 NFT, pour un total de 200 ETH. Ces NFT comprenaient entre autres 1 Bored Ape, 2 Mutant Apes, 5 Otherdeed et 1 Goblintown.

Peut-on vraiment blâmer Discord pour cette mésaventure ?

Si le co-fondateur de Bored Ape Yacht Club ne s’est pas gêné pour critiquer Discord et son prétendu manque de sécurité, estimant que “Discord n’est pas une bonne plateforme pour les communautés web3”, nombreuses sont les personnes à ne pas être d’accord avec ce point de vue.

C’est notamment le cas de OkHotshot, un utilisateur Twitter spécialisé dans la sécurité blockchain. Celui-ci affirme que Discord n’est pas à blâmer et que les attaques au phishing peuvent survenir sur n’importe quelle plateforme.

Il faut dire que ce point de vue se défend, dans la mesure où BAYC a déjà été victime d’une attaque similaire par le passé, mais par le biais d’Instagram. Cette attaque avait d’ailleurs fait encore plus de dégâts puisque l’équivalent de 2,8 millions de dollars avaient alors été subtilisés.

Toujours selon OkHotshot, cette attaque était “évitable” et est survenue uniquement suite à un manque de vigilance de la part des fondateurs et du Community Manager. Le compte n’ayant pu être piraté que suite à un clic de ce dernier sur un lien douteux.

La vigilance doit toujours être de mise

Il est vrai que le manque de vigilance, que ce soit de la part des utilisateurs ou des fondateurs, est la raison de bon nombre de hacks, surtout lorsque ceux-ci surviennent sur Discord.

La meilleure chose à faire si vous souhaitez vous en prémunir est donc de vérifier, systématiquement, les liens sur lesquels vous cliquez, même si ceux-ci proviennent de comptes auxquels vous faites totale confiance. Ces derniers peuvent totalement être victimes d’un piratage.

Enfin, de nombreuses personnes dans la communauté NFT se questionnent, à juste titre, sur les moyens employés par Bored Ape Yacht Club afin d’assurer un maximum de sécurité à ses membres. Le projet dispose de moyens colossaux et pourrait tout à fait mettre en place une équipe d’experts en sécurité dans le but de minimiser ces risques, qui semblent malheureusement récurrents, voire inévitables.

Pour en savoir plus :