Un ancien bug de portefeuille crypto met 2,1 milliards de dollars en danger : non chiffré
La société de cybersécurité crypto Unciphered a découvert un bug de portefeuille crypto vieux de dix ans affectant les portefeuilles basés sur navigateur générés entre 2011 et 2015.
Le bug peut permettre à des acteurs malveillants de voler jusqu’à 2,1 milliards de dollars dans les portefeuilles de divers réseaux, notamment Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) et Zcash (ZEC).
À la découverte d’un ancien bug
Dans une interview avec le Wall Street Journal, l’équipe d’Unciphered a expliqué qu’elle avait accidentellement découvert le bug lors d’une tentative infructueuse de récupérer les 600 000 $ en Bitcoin (BTC) perdus par un des premiers investisseurs. p>
L’entrepreneur Nick Sullivan a créé son portefeuille Bitcoin en 2014 en utilisant le site Web Blockchain.info (renommé depuis Blockchain.com). Plus tard, il a accidentellement perdu l’accès à ses pièces après avoir effacé la mémoire de son ordinateur sans penser à enregistrer la clé privée de son portefeuille.
À la demande de Sullivan, Unciphered a commencé à rechercher les pièces de monnaie de Sullivan en janvier 2022. Bien qu’il leur manquait finalement suffisamment d’informations pour les récupérer, ils ont réalisé au cours du processus que le code de Blockchain.info pour créer des clés de portefeuille aléatoires – BitcoinJS – ne faisait pas tout. de ses portefeuilles assez aléatoires.
« BitcoinJS est terriblement démantelé jusqu’en mars 2014 », a déclaré Eric Michaud, co-fondateur d’Unciphered. « Quiconque l’utilise directement court un risque très élevé d’attaque. »
Un autre site de portefeuille, Dogecoin.info, utilisait également BitcoinJS, laissant de nombreux anciens utilisateurs de Dogecoin exposés à la même vulnérabilité.
Des allégations non chiffrées selon lesquelles les portefeuilles créés avant mars 2012 contiennent 100 millions de dollars d’actifs qui pourraient facilement être piratés par un utilisateur d’ordinateur personnel. 50 milliards de dollars supplémentaires sont détenus dans des portefeuilles créés entre cette date et 2015, dont au moins 500 millions de dollars sont vulnérables.
Les cryptographes ont découvert des failles dans la génération aléatoire de portefeuilles en 2014 et ont amélioré leurs méthodes depuis. Unciphered a déclaré n’avoir découvert aucun portefeuille généré après 2016 souffrant d’un faible caractère aléatoire.
Comment informer les victimes ?
Unciphered a rendu public cette vulnérabilité cette semaine, mais il avertit discrètement les utilisateurs concernés que leurs actifs sont en danger depuis des mois.
Le défi consistait à convaincre des millions de victimes de déplacer leurs fonds sans révéler leur vulnérabilité aux voleurs qui, autrement, en tireraient parti pour voler des pièces.
Unciphered a finalement décidé de se rendre sur le plus grand site responsable de la génération de tels portefeuilles, qui pourrait être en mesure d’informer discrètement les utilisateurs concernés. Ce site a fini par être celui utilisé par Sullivan – Blockchain.com.
Le site a envoyé des e-mails aux détenteurs de plus de 1,1 million de portefeuilles concernés et a trouvé un moyen de mettre à jour automatiquement les portefeuilles de toute personne visitant son site.
« En matière de cryptographie, vous devez être assez sceptique à l’égard des personnes qui appellent avec quelque chose qui semble dramatique, car il y a tellement d’escrocs », a déclaré le président de Blockchain.com, Lane Kasselman, à propos de l’avertissement d’Unciphered. « On ne savait pas clairement qui ils étaient et quelle en était la portée. »
De nombreux utilisateurs concernés n’ont toujours pas été avertis directement puisque les sites qu’ils ont utilisés pour créer leurs portefeuilles ont désormais fermé leurs portes.
L’article Un vieux bug du portefeuille crypto met 2,1 milliards de dollars en danger : non chiffré apparaît en premier sur CryptoPotato.
