En ce moment

Comment la « Due intelligence » permet de repérer des arnaques aux NFTs

Posté le 8 septembre 2023
par Philippe RICHARD
dans Informatique et Numérique

Quelque 700 investisseurs ont perdu plus d’un million d’euros dans le projet de film d’animation « Plush », promu en 2022 par le comédien Kev Adams. Attirés par de soi-disant bonnes affaires, des particuliers et des entreprises sont victimes d’escrocs. Des experts en sécurité informatique permettent de repérer ces arnaques en s’appuyant sur la « Due intelligence ».

Les peluches cachaient un escroc ! Le financement de la production de ce long métrage reposait sur la vente de 50 000 nounours sous la forme de NFTs (non fungible token, pour « jetons non fongibles »), un certificat numérique d’authenticité vendu 1 250 euros l’unité. Mais derrière ce projet se trouvait Illuminart, une mystérieuse entreprise installée à Dubaï et dirigée par un homme d’affaires fan de cryptomonnaies et de poker.

Cette arnaque dite du rug pull (« tirer le tapis » en anglais), consistant à promouvoir une collection de NFTs comme une super affaire, n’est pas unique.

Début 2023, Aurélien Michel a été arrêté aux États-Unis. Ce français de 24 ans serait le principal administrateur du projet « Mutant Ape Planet ». Une arnaque à 2,7 millions d’euros. Cette série d’images virtuelles de singes est un plagiat des « Mutant Ape Yacht Club », l’une des collections de NFTs les plus cotées. Dans une autre affaire, un escroc s’est fait passer pour Banksy et a obtenu plus d’un million de dollars en Ether (une cryptomonnaie) dans des ventes de NFTs.

Toutes ces affaires qui ont fait la Une des médias ont eu des impacts négatifs sur l’écosystème des NFTs et de façon plus globale sur les cryptomonnaies et les blockchains.

Des failles dans les smart contracts

« Beaucoup de médias associent les cryptomonnaies et la blockchain a des activités malveillantes sur le darkweb (trafic d’armes, drogues, etc.) alors que cela ne représente même pas 1 % des transactions toutes blockchains confondues. La réalité est plus sérieuse. Les banques et de grosses entreprises françaises utilisent la technologie blockchain depuis très longtemps pour la traçabilité de supply chain notamment[1] », précise Patrick Ventuzelo, directeur de Fuzzing Labs, une start-up française spécialisée dans la recherche en source ouverte sur la blockchain.

L’équipe de ce chercheur en sécurité, qui a travaillé pour le ministère des Armées et Airbus Defense & Space Cybersecurity, se concentre principalement sur la recherche de vulnérabilités sur diverses plateformes et notamment les nœuds des blockchains.

Dans des cas extrêmes d’attaques, il serait possible de manipuler des données censées être sécurisées par une blockchain ou de faire « tomber » pendant quelque temps le réseau de la blockchain. Cependant, le réseau redeviendrait opérationnel rapidement dès que sa communauté déciderait de faire une restauration à une date précédente pour repartir sur une base plus « saine », c’est-à-dire moins vulnérable.

Mais, la plupart des attaques se concentrent sur les applications et les smart contracts. Ce ne sont pas des contrats à proprement parler, mais des scripts qui sont hébergés sur un réseau de blockchain. Écrits dans un langage qui s’applique à une blockchain particulière, comme Solidity sur Ethereum, ils s’occupent de la négociation ou l’exécution d’un contrat.

« C’est la raison pour laquelle nous développons de nombreux outils open source pour analyser et trouver des bugs dans ces smart contracts. Cela permet à nos clients de connaître leur exposition en ligne ou même parfois de découvrir qu’elles sont victimes d’un rug pull. En analysant les informations des transactions sur une blockchain (on-chain) avec des informations trouvées sur internet (off-chain), comme sur des services de nom de domaine sur Ethereum ou sur le réseau social décentralisé adossé à la blockchain Lens, on peut identifier plus facilement l’identité de certains utilisateurs », explique Patrick Ventuzelo.

Les analyses de Fuzzing Labs permettent aussi de vérifier le sérieux d’un projet NFT avant que des entreprises ou des particuliers investissent des fonds. C’est ce qu’on appelle la Due Intelligence. Cette vérification des antécédents est une évaluation commerciale très précise d’une personne, d’un investissement ou d’une entreprise.

Adaptée aux NFTs et aux blockchains, « c’est un processus complexe et technique qui consiste à rechercher dans le code les failles de sécurité et les vulnérabilités potentielles », insiste Patrick Ventuzelo.


(1) Par exemple, Carrefour a recours à la blockchain pour stocker les informations relatives au produit : sa provenance, son lieu d’élevage ou son mode de production. Elle garantit aux consommateurs une transparence complète sur le circuit suivi par les produits.


Pour aller plus loin