Cet avertissement de Metamask intervient après le hack d’un utilisateur sur iPhone, survenu le 15 avril. Le hackeur a dérobé plus de 650 000 $ de NFT et d’Apecoin au total.
Une escroquerie partagée sur Twitter
C’est donc le 15 avril qu’un utilisateur du nom de Domenic Iacovone s’est plaint, sur Twitter, d’avoir perdu tous ses NFT ainsi que 100 000 $ d’Apecoin.
À noter que les NFT en question étaient de grandes valeurs puisqu’il s’agissait de quatre Gutter Cats et de trois Mutant Apes. Finalement, c’est plus de 650 000 $ qui se sont évaporés du portefeuille MetaMask de cet utilisateur.
Le déroulement de l’arnaque
Toujours sur Twitter, @Serpent a expliqué, via un thread, comment s’est déroulée cette arnaque. Et le moins que l’on puisse dire, c’est qu’il s’agit d’une escroquerie bien rodée, dans laquelle n’importe qui pourrait tomber.
En effet, Domenic a d’abord reçu un appel d’Apple. Le numéro était bel et bien indiqué comme étant celui d’Apple, d’où la difficulté de cerner cette arnaque… Il a donc rappelé ce numéro, qui était en réalité un numéro usurpé, utilisé par un escroc.
Ce dernier, se faisant passer pour un représentant d’Apple, a demandé à Domenic un code envoyé sur son téléphone. Tout en prétextant en avoir besoin pour vérifier que l’utilisateur possède bel et bien le compte Apple dont il est question.
C’est à ce moment que tout bascule, puisque ce code est en réalité un code de réinitialisation, qui permettra au hackeur d’accéder au compte iCloud et à toutes les données qui y sont stockées.
Bien sûr, à peine Iacovone avait-il donné ce code au hackeur que ce qui était son portefeuille s’était volatilisé. Selon lui, il n’y a eu que quelques secondes entre le moment où il a partagé le code et le moment où il n’avait plus rien.
? NEW PHISHING SCAM ?
Already $650,000 stolen from a single individual and it's going to happen to a lot more people.
This is how it happened ??
— Serpent (@Serpent) April 17, 2022
Les raisons à l’origine de ce hack
Selon MetaMask, ces escroqueries auraient comme origine une faille de sécurité du côté d’Apple, sur iPad, Macbook et iPhone. Cette faille aurait permis aux personnes malintentionnées d’avoir accès à la seedphrase des utilisateurs via iCloud.
Ainsi, MetaMask recommande aux utilisateurs d’immédiatement désactiver le stockage d’iCloud afin de prévenir d’éventuelles nouvelles tentatives de la part des hackeurs.
Comment faire pour se protéger d’un éventuel hack ?
D’ailleurs, si vous souhaitez également vous protéger, MetaMask a partagé quelques consignes à suivre, notamment pour désactiver le stockage iCloud. Voici, de manière détaillée, comment vous y prendre :
- Rendez-vous dans Réglages
- Cliquez sur votre profil.
- Ensuite, il vous faudra cliquer sur iCloud, puis “Gérer le stockage”.
- À ce moment, vous aurez la possibilité de désactiver les sauvegardes sur iCloud, qui sont à l’origine de ces hacks.
MetaMask recommande aussi de renforcer votre mot de passe, ce qui est, de toute façon, toujours judicieux, car cela le rend moins “hackable” par des logiciels.
Veillez aussi à ne pas connecter votre wallet MetaMask à des sites dont vous n’êtes pas certain(e) de la fiabilité.
Enfin, notez qu’il n’y a rien de mieux que d’utiliser un cold wallet tel que Ledger ou Trezor pour vous assurer une sécurité optimale.
Pas la première, ni la dernière
Malheureusement, cette attaque est loin d’être la première que l’on a pu constater dans le secteur des cryptomonnaies et des NFT. Depuis le début de l’année, de nombreux hacks similaires ont eu lieu, notamment sur OpenSea, la plateforme phare en termes de NFT. De multiples NFT ont été dérobés, dont les plus célèbres (et parmi les plus chers) Bored Apes.
Il est crucial de rester vigilant et de prendre toutes les mesures nécessaires, afin de ne pas être la prochaine victime de ce type d’attaques.