Au moins 3 millions de dollars (M$) ont été dérobés suite au piratage du compte Instagram de la célèbre collection de NFT Bored Ape Yacht Club (BAYC).
Le singe fait la grimace. La célèbre et très lucrative collection de NFT, Bored Ape Yacht Club créée par la société Yuga Labs, a été la cible d’une attaque de type phising lundi 25 avril.
« Ce matin, le compte Instagram officiel de BAYC a été piraté. Le pirate a publié un lien frauduleux vers une copie du site Web de BAYC avec un faux Airdrop (offre gratuite de NFTs), où les utilisateurs ont été invités à signer une transaction « safeTransferFrom ». Cela a transféré leurs actifs dans le portefeuille de l'escroc. », a twitté le compte officiel de Bored Ape Yacht Club.
D’après Yuga Labs, le pirate a mis la main sur 4 NFT Bored Apes (1 million de dollars), 6 Mutant Apes et 3 BAKC entre autres, pour un montant total d’environ 3 M$. Mais certains médias comme Cryptonaute révèlent que les transferts d’OpenSea, a date de l’événement, semblent indiquer que 24 Bored Apes et 30 Mutant Apes au moins ont été dérobés. Ce qui équivaut à 13,7 M$.
Une enquête en cours
Yuga Labs assure avoir alerté sa communauté et supprimé les liens vers le compte compromis immédiatement après avoir découvert le piratage. Les développeurs ont également déclaré que l’authentification à deux facteurs était activée et que la sécurité « suivait les meilleures pratiques » au moment du hack. Une enquête est en cours afin de déterminer comment les pirates ont pu obtenir les accès.
L’entreprise de rappeler que « nous n'annoncerons également JAMAIS les mints sur les comptes Instagram BAYC ou Otherside en premier, jamais. N'obtenez des informations que sur nos comptes Twitter ». Yuga Labs invite les victimes, ou ceux disposant d’informations pouvant être utiles à contacter cette adresse [email protected]. Pour l’heure, aucune compensation financière n’a été évoquée.
Ce n’est pas la première fois que BAYC est victime d’un piratage. Début avril, un scammer était parvenu à s’introduire sur le Discord officiel afin de poster un lien de phising vers un faux mint.