Les récentes révélations d’une firme de cybersécurité, Unciphered, ont mis en lumière une vulnérabilité du portefeuille vieille de dix ans qui pourrait potentiellement mettre en péril une somme impressionnante de 2,1 milliards de dollars de cryptomonnaie. Cette vulnérabilité affecte les portefeuilles basés sur navigateur créés entre 2011 et 2015 et s’étend à plusieurs réseaux, dont Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) et Zcash (ZEC).
Mise au jour de la vulnérabilité du portefeuille de cryptomonnaie
Unciphered a découvert cette vulnérabilité du portefeuille en tentant de récupérer 600 000 dollars en Bitcoin (BTC) pour un investisseur précoce, Nick Sullivan, qui avait perdu l’accès à son portefeuille. Sullivan avait initialement créé son portefeuille Bitcoin en 2014 en utilisant Blockchain.info (maintenant Blockchain.com) et avait ensuite perdu l’accès à ses pièces après avoir accidentellement effacé la mémoire de son ordinateur sans sauvegarder la clé privée de son portefeuille.
Lors de leur enquête, Unciphered a découvert que le code utilisé par Blockchain.info pour créer des clés de portefeuille aléatoires, connu sous le nom de BitcoinJS, ne rendait pas tous ses portefeuilles suffisamment aléatoires, les laissant ainsi vulnérables aux attaques. Cette vulnérabilité s’étend également à Dogecoin.info, qui utilisait le même BitcoinJS, exposant ainsi de nombreux anciens utilisateurs de Dogecoin au même risque.
Étendue de la vulnérabilité du portefeuille
Selon Unciphered, les portefeuilles créés avant mars 2012 détiennent environ 100 millions de dollars d’actifs qui pourraient être facilement piratés par un utilisateur d’ordinateur domestique. De plus, 50 milliards de dollars sont détenus dans des portefeuilles créés entre cette période et 2015, dont au moins 500 millions de dollars sont vulnérables aux attaques.
Bien que les cryptographes aient identifié des failles dans la génération aléatoire de portefeuilles dès 2014 et aient depuis amélioré leurs méthodes, Unciphered n’a trouvé aucun portefeuille généré après 2016 souffrant d’une faiblesse aléatoire.
Alerte aux victimes
Unciphered a pris la décision de divulguer publiquement cette vulnérabilité, mais pas avant d’avoir discrètement averti les utilisateurs concernés pendant des mois du risque pesant sur leurs actifs. Le défi était de convaincre des millions de victimes de déplacer leurs fonds sans alerter les éventuels voleurs de la vulnérabilité.
Blockchain.com, le plus grand site responsable de la génération de tels portefeuilles, a été approché par Unciphered pour avertir discrètement les utilisateurs concernés. Blockchain.com a envoyé des e-mails à plus de 1,1 million de détenteurs de portefeuilles concernés et a trouvé un moyen de mettre à jour automatiquement les portefeuilles de toute personne visitant son site.
Cependant, de nombreux utilisateurs concernés n’ont pas été directement avertis car les sites qu’ils utilisaient pour créer leurs portefeuilles ne sont plus opérationnels.
Pour ceux qui sont préoccupés par la sécurité de leur portefeuille, des plateformes comme cryptoview.io offrent une vue complète de votre portefeuille de cryptomonnaie, vous permettant de surveiller vos actifs et de rester informé des éventuelles vulnérabilités.
Restez vigilant et protégez vos actifs
