Récemment, beaucoup de projets NFT et d’investisseurs se plaignent de leurs actifs volés, même des créateurs célèbres n’échappent pas à la catastrophe. Kevin Rose, le fondateur de Moonbirds, a récemment confirmé que son portefeuille avait été piraté, perdant 25 Chromie Squiggles et d’autres NFT, ce qui a suscité l’alerte de nombreux utilisateurs. En réalité, les arnaques NFT sont devenues une norme dans ce milieu, avec des techniques variées et sans cesse renouvelées. Aujourd’hui, je souhaite vous parler des méthodes courantes pour éviter de tomber dans le piège.

Commençons par la technique de la fausse fenêtre publicitaire. Le KOL en crypto NFT, NFT God, a été victime en cliquant sur un lien sponsorisé apparemment officiel dans les résultats de recherche Google, ce qui a permis l’installation d’un logiciel malveillant, entraînant l’intrusion dans son portefeuille et la perte de tous ses actifs. Le système publicitaire de Google permet à quiconque de payer pour apparaître en tête des résultats, avec un taux de clic très élevé, créant ainsi une opportunité idéale pour les escrocs.

Une autre méthode est la fausse airdrop pour piéger. Les fraudeurs vous envoient d’abord des NFT inconnus en airdrop, puis proposent de les racheter à un prix élevé. Si vous acceptez, vous êtes dirigé vers un site de phishing pour autoriser la transaction, et vos actifs disparaissent. La falsification de NFT est aussi courante : certains volent directement des œuvres d’artistes célèbres, créent de fausses versions sur le marché, et génèrent quelques transactions fictives pour tromper les acheteurs.

Les arnaques par email sont également très répandues. Lors de la mise à jour du contrat intelligent d’OpenSea, des hackers ont envoyé de faux emails de rappel de mise à jour, piégeant de nombreux utilisateurs via des liens de phishing. Des détenteurs de grands projets comme BAYC ou Doodles ont aussi été victimes. Comme beaucoup de projets NFT exigent la liaison avec une adresse email, cela donne aux attaquants une opportunité de se faire passer pour l’équipe officielle.

Les comptes officiels piratés ou usurpés sont aussi un problème sérieux. Après le piratage du compte Instagram de BAYC, les hackers ont publié de faux liens de phishing en se faisant passer pour l’équipe officielle, incitant les utilisateurs à connecter MetaMask à de faux portefeuilles, ce qui a permis de voler des NFT d’une valeur de plus de 2,8 millions de dollars. Le serveur Discord de Yuga Labs a également été infiltré, avec des attaquants qui ont publié directement des liens de phishing dans le canal officiel.

Une technique rusée consiste à générer des adresses avec des suffixes identiques. La plupart des gens ne vérifient que les premières ou dernières chiffres de l’adresse, et les escrocs en profitent pour créer de fausses adresses de contrats qui ressemblent à l’original, en airdropant de petites quantités de tokens. Lorsqu’on copie et colle, on tombe dans le piège.

Connaître ces méthodes, comment se protéger ? La première étape cruciale est de bien garder ses clés privées et phrases de récupération, car une fois divulguées, il n’y a pas de moyen de les récupérer, contrairement à un compte Web2 où l’on peut changer le mot de passe. Les escrocs utilisent souvent des airdrops, des Mint gratuits ou des faux gestionnaires officiels pour vous inciter à révéler votre clé privée.

Ensuite, il faut adopter de bonnes habitudes : sauvegarder les sites officiels que vous utilisez fréquemment, accéder aux comptes sociaux via les liens officiels, et ne pas cliquer à la légère sur des liens dans les messages privés ou emails. Installer des extensions anti-phishing peut aussi aider à repérer de nombreux faux sites. Il est conseillé de gérer ses actifs en les séparant : utiliser différents portefeuilles pour les transactions et la mint, et ne pas interagir avec de gros fonds dans le même portefeuille.

Avant d’investir dans un projet NFT, il faut faire une vérification approfondie : vérifier si les comptes sociaux sont certifiés, croiser les sources d’informations. Lors d’un transfert, toujours vérifier l’adresse complète du contrat, et préférablement utiliser la fonction de carnet d’adresses du portefeuille pour sélectionner directement, afin d’éviter toute modification par un intermédiaire.

En cas de vol, la première étape est d’isoler ses actifs, changer tous ses mots de passe de comptes sociaux, et si c’est une attaque par virus, couper la connexion Internet. Ensuite, il est conseillé de faire appel à des sociétés de sécurité spécialisées pour suivre la trace des fonds. Les techniques d’arnaque dans le domaine NFT évoluent constamment, et la vigilance reste la meilleure défense. J’espère que chacun pourra explorer cet univers en toute sécurité.