Des chercheurs de la plateforme d’actifs numériques Fireblocks ont rapporté ce vendredi (17) qu’ils avaient découvert une vulnérabilité dans le populaire portefeuille de crypto-monnaie BitGo. Selon la société, la faille – nommée BitGo Zero Proof Vulnerability – aurait exposé les clés privées de tous les utilisateurs de BitGo, y compris celles des bourses, des banques et d’autres sociétés.
L’équipe a expliqué que la faille en question permet à un attaquant d’extraire la clé privée complète d’un utilisateur en moins de 60 secondes. Pour cela, il lui suffit d’utiliser un petit extrait de JavaScript (langage de programmation).
Fireblocks a déclaré avoir informé BitGo de la découverte le 5 décembre 2022. La société derrière le portefeuille a ensuite confirmé les détails techniques et suspendu son service vulnérable le 10 décembre.
BitGo a commenté dans une note la prétendue découverte et a déclaré que les allégations provenaient « d’un concurrent essayant de créer une peur inutile en transformant une faille connue en un coup publicitaire ».
BitGo a une faille qui peut exposer les mots de passe
Comme l’a souligné le cofondateur et directeur technique de Fireblocks, Idan Ofrat, l’échec est dû au fait que le fournisseur de portefeuille n’a pas suivi une norme de cryptage bien révisée.
« La croissance explosive des actifs numériques ces dernières années, à la fois en nombre d’utilisateurs et en volumes de transactions, a rendu extrêmement rentable pour les pirates de cibler cet espace. La mission de Fireblocks est d’aider l’industrie à accroître sa résilience et sa sécurité », a déclaré Ofrat.
Dans leur analyse, l’équipe Fireblocks a prouvé que la faille était exploitable via un compte BitGo gratuit sur le réseau principal. Selon la société, la vulnérabilité résultait de l’échec de la mise en œuvre de preuves à connaissance nulle dans le protocole de portefeuille BitGo ECDSA TSS. Cela a facilité l’exposition de la clé privée par une simple attaque.
« La vulnérabilité BitGo Zero Proof permet à toute partie, y compris les attaquants internes et externes, d’accéder à la clé privée complète, en contournant complètement tous les contrôles de sécurité et de conformité de l’entreprise », a expliqué la société.
Bitfinex a eu le même problème quand il a été piraté
Toujours selon Fireblocks, la faille expose les clients du portefeuille à une tactique que les pirates utilisent contre les échanges et les fonds. En 2016, par exemple, l’échange Bitfinex a été piraté pour 119 756 BTC (d’une valeur d’environ 378 millions de reais au moment du piratage). Lorsque le piratage a eu lieu, les attaquants ont exploité une faille similaire. Après l’incident, l’équipe a corrigé le problème.
Bien que les clés privées du client BitGo aient pu être compromises, l’attaquant n’a pas encore retiré les actifs. Par conséquent, Fireblocks a recommandé aux utilisateurs qui ont créé des portefeuilles ECDSA TSS BitGo avant la date de correction de créer de nouveaux portefeuilles et de transférer leurs fonds vers leurs nouveaux portefeuilles.
BitGo dément les allégations
Selon l’équipe BitGo, le le type spécifique de portefeuille MPC en question est déverrouillé pour 20 développeurs uniquement. Autrement dit, ce n’est pas une version accessible aux clients en général.
« Contrairement à d’autres fournisseurs d’infrastructure de cryptographie qui créent des solutions de boîte noire, BitGo ouvre les composants de base de notre technologie et encourage les développeurs du monde entier à tester nos dernières implémentations. Nos API et SDK sont accessibles à tous. N’importe qui (y compris les ingénieurs d’entreprises concurrentes) peut créer un compte développeur BitGo et effectuer des transactions de test sur TestNet et MainNet », a déclaré BitGo.
Toujours selon la société, le fait que Fireblocks ait révélé à la presse un problème connu dans un produit en pré-lancement est inhabituel.
« Nous sommes surpris que Fireblocks ait décidé d’emprunter cette voie après les avoir informés qu’il s’agissait d’un logiciel en version anticipée. Bien que Fireblocks prétende qu’il était en « production » parce qu’ils l’ont testé sur le réseau principal à l’aide du site Web BitGo (en ignorant tous les avertissements de publication anticipée), le fait est que ce n’était pas le cas. Publier un communiqué de presse/un article de blog sur les produits bêta d’une autre société au nom de la « divulgation responsable » est au mieux malhonnête. Ce n’est pas ainsi que les divulgations coordonnées sont censées fonctionner. Cependant, nous maintenons nos processus de sécurité open source et nous nous félicitons d’un examen continu.
Enfin, BitGo a déclaré que les fausses allégations visent à nuire à la réputation de BitGo. À la lumière de cela, la société poursuit tous les recours juridiques, y compris les dommages-intérêts, les mesures injonctives, les frais de justice et les honoraires d’avocat.
* Nouvelles mises à jour à 14h57 le 17 mars pour inclure le positionnement BitGo.