La société de cybersécurité crypto Unciphered a découvert un bug de portefeuille crypto vieux de dix ans affectant les portefeuilles basés sur un navigateur générés entre 2011 et 2015.
Le bug peut permettre à des acteurs malveillants de voler jusqu’à 2,1 milliards de dollars dans des portefeuilles sur divers réseaux, notamment Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) et Zcash (ZEC).
Découverte d’un ancien bug
Dans une interview avec le le journal Wall Streetl’équipe d’Unciphered a expliqué qu’elle avait accidentellement découvert le bug lors d’une tentative infructueuse de récupérer les 600 000 $ en Bitcoin (BTC) perdus par un des premiers investisseurs.
L’entrepreneur Nick Sullivan a créé son portefeuille Bitcoin en 2014 en utilisant le site Web Blockchain.info (renommé depuis Blockchain.com). Plus tard, il a accidentellement perdu l’accès à ses pièces après avoir effacé la mémoire de son ordinateur sans penser à enregistrer la clé privée de son portefeuille.
À la demande de Sullivan, Unciphered a commencé à rechercher les pièces de Sullivan en janvier 2022. Bien qu’ils n’aient finalement pas eu suffisamment d’informations pour les récupérer, ils ont réalisé au cours du processus que le code de Blockchain.info pour créer des clés de portefeuille aléatoires – BitcoinJS – ne constituait pas tous ses portefeuilles. assez aléatoire.
« BitcoinJS est terriblement détruit jusqu’en mars 2014 », a déclaré Eric Michaud, co-fondateur d’Unciphered. « Quiconque l’utilise directement court un risque très élevé d’attaque. »
Un autre site de portefeuille, Dogecoin.info, utilisait également BitcoinJS, laissant de nombreux anciens utilisateurs de Dogecoin exposés à la même vulnérabilité.
Des affirmations non chiffrées selon lesquelles les portefeuilles créés avant mars 2012 contiennent 100 millions de dollars d’actifs qui pourraient facilement être piratés par un utilisateur d’ordinateur personnel. 50 milliards de dollars supplémentaires sont détenus dans des portefeuilles créés entre cette date et 2015, dont au moins 500 millions de dollars sont vulnérables.
Les cryptographes ont découvert des failles dans la génération aléatoire de portefeuilles en 2014 et ont amélioré leurs méthodes depuis. Unciphered a déclaré n’avoir découvert aucun portefeuille généré après 2016 souffrant d’un faible caractère aléatoire.
Comment informer les victimes ?
Unciphered a rendu public cette vulnérabilité cette semaine, mais avertit discrètement les utilisateurs concernés que leurs actifs sont en danger depuis des mois.
Le défi consistait à convaincre des millions de victimes de transférer leurs fonds sans révéler leur vulnérabilité aux voleurs qui, autrement, en tireraient parti pour voler des pièces.
Unciphered a finalement décidé de se rendre sur le plus grand site chargé de générer de tels portefeuilles, qui pourrait être en mesure d’informer discrètement les utilisateurs concernés. Ce site a fini par être celui utilisé par Sullivan – Blockchain.com.
Le site a envoyé des e-mails aux détenteurs de plus de 1,1 million de portefeuilles concernés et a trouvé un moyen de mettre automatiquement à jour les portefeuilles de toute personne visitant son site.
« En matière de cryptographie, vous devez être assez sceptique à l’égard des personnes qui appellent avec quelque chose qui semble dramatique, car il y a tellement d’escrocs », a déclaré le président de Blockchain.com, Lane Kasselman, à propos de l’avertissement d’Unciphered. « On ne savait pas clairement qui ils étaient et quelle en était la portée. »
De nombreux utilisateurs concernés n’ont toujours pas été avertis directement puisque les sites qu’ils ont utilisés pour créer leurs portefeuilles ont désormais fermé leurs portes.
Binance Free 100 $ (Exclusif) : utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais sur Binance Futures le premier mois (termes).
Voir l’article original en anglais
