mercredi 4 décembre 2024
Accueil Actualité Vol de Bitcoins grâce a des seedphrases obsolètes ! Analyses et révélations des failles cryptographiques, par Milk Sad
Actualité

Vol de Bitcoins grâce a des seedphrases obsolètes ! Analyses et révélations des failles cryptographiques, par Milk Sad

Milk Sad

Découverte d’une faille de sécurité alarmante par l’équipe MILK SAD

Un vol inexpliqué de Bitcoins signalant une vulnérabilité majeure

L’équipe de chercheurs codée MILK SAD a dévoilé une faille cryptographique stupéfiante affectant l’une des plus anciennes librairies open source associées au Bitcoin. Cette révélation provient après qu’un utilisateur ait inexplicablement perdu ses bitcoins, malgré avoir pris toutes les mesures de sécurité apparentes et nécessaires lors de la création de son portefeuille. La librairie en question est essentielle; elle est largement utilisée pour générer des phrases mnémoniques qui jouent un rôle crucial dans la sécurité des clefs privées des utilisateurs.

Investigation approfondie sur la faille

En plongeant profondément dans le mystère, MILK SAD a commencé une enquête approfondie, révélant que plusieurs victimes partageaient des similitudes inquiétantes dans leurs configurations de sécurité. Les victimes avaient suivi des protocoles de sécurité rigoureux: génération de phrases mnémoniques sur des ordinateurs isolés d’Internet, utilisation de hardwares wallets et l’application de multiples couches de sécurité. Cependant, malgré toutes ces mesures, ils ont été confrontés à la disparition inexpliquée de leurs cryptomonnaies.

Mise en lumière des doutes et des suspicions

L’investigation a mené à une série de découvertes alarmantes, la mise en doute du générateur de nombres pseudo-aléatoires utilisé, Mersenne Twister, n’étant pas cryptographiquement sécurisé (CSPRNG). La vulnérabilité résidait dans la manière dont les phrases mnémoniques étaient générées, exposant une faiblesse cruciale que les hackers pouvaient exploiter pour dérober les précieuses cryptomonnaies des utilisateurs.

Révélation des faiblesses du système

L’équipe MILK SAD a révélé que la commande responsable de la génération des phrases mnémoniques pourrait être à la base du problème. Les experts ont découvert que le générateur était initialisé en utilisant l’horloge système, une méthode qui s’est avérée être une vulnérabilité massive. Cette méthode de génération basée sur le temps a exposé les utilisateurs à des risques importants, permettant potentiellement aux attaquants d’inverser ingénieusement l’état interne de Mersenne Twister et de compromettre ainsi les clés privées générées.

Milk Sad : pionnier dans la révélation de la vulnérabilité

Les chercheurs de MILK SAD ont méticuleusement démêlé et mis en lumière une vulnérabilité jusqu’alors inconnue, renforçant ainsi notre compréhension des risques latents dans les technologies cryptographiques. Ils ont démontré une expertise exceptionnelle et une diligence dans la révélation de failles qui auraient pu rester cachées, exposant les utilisateurs à des risques imprévus et considérables. Les découvertes et analyses de MILK SAD sont essentielles pour la communauté, contribuant grandement à la navigation dans le paysage complexe et souvent incertain de la cryptographie et de la sécurité des cryptomonnaies.

Un avenir plus sécurisé grâce à Milk Sad

Grâce à l’engagement et à l’expertise de l’équipe MILK SAD, des lumières ont été jetées sur des zones d’ombre cruciales dans la sécurité des cryptomonnaies. Les révélations ont non seulement aidé à identifier des vulnérabilités majeures mais aussi à mettre en avant l’importance de l’innovation et de l’amélioration constantes des technologies et protocoles de sécurité en place. Les efforts de MILK SAD ont marqué une étape significative vers un écosystème de cryptomonnaies plus sûr et plus robuste.

Impact de la découverte

L’affaire révélée rappelle deux vulnérabilités précédentes trouvées dans Cake Wallet et Trust Wallet, où le principal problème était une faible entropie dans la génération des « seeds » (clés privées).

Affaires précédentes (Cake Wallet et Trust Wallet)

  • Cake Wallet : Une vulnérabilité similaire avait été découverte en mai 2021, causée par un faible niveau d’entropie lors de la génération des « seeds ». Un code utilisé a également montré le risque d’avoir une Random() fonction revenant à 0 ou au temps système.
  • Trust Wallet : Une vulnérabilité récente a été identifiée, ayant causé une perte d’environ 170 000 dollars. Cela était dû à une mauvaise utilisation de l’algorithme Mersenne Twister MT19937, avec une faible entropie dans les 32 bits utilisés pour générer les clés.

Détails des vulnérabilités

Les deux wallets ont utilisé l’algorithme MT19937 mais de manière différente. Dans le cas de Trust Wallet, une entropie de 128 bits était requise pour les phrases mnémoniques de 12 mots, tandis que bx offrait plus de flexibilité avec des sorties de 128, 192, ou 256 bits.

Plan de divulgation

Le plan de divulgation pour « Milk Sad » était plus rapide en raison de l’urgence et du risque que les attaquants exploitent la vulnérabilité. Un objectif de 7 jours a été fixé pour la divulgation, contrairement à l’approche standard de 90 jours.

Bilan des vols

L’estimation basse des fonds volés était d’environ 900 000 dollars, incluant divers types de cryptomonnaies comme Bitcoin, Ethereum, , , et d’autres. Les chercheurs ont identifié des adresses suspectes et des mouvements de fonds qui semblent être liés à l’exploitation de cette vulnérabilité.

Motivations des équipes « Milk Sad »

L’équipe a mené cette investigation principalement pour évaluer les dommages financiers causés par la vulnérabilité et pour prouver l’existence réelle de la faille. Ils espéraient également pouvoir informer les propriétaires des portefeuilles à risque, bien qu’aucun fonds significatif à risque n’ait été identifié lors de leurs recherches.

Prévenir un mal incurable ?

La team Milk Sad a émis des réserves majeures quant à la des fonds compromis dans les wallets. Malgré leur désir d’aider, intervenir directement en déplaçant des fonds pour prévenir un vol ultérieur pose un véritable casse-tête légal. Ils soulignent la complexité d’une telle démarche, surtout en l’absence d’une entité centralisée qui pourrait vérifier les identités et les propriétés des fonds en jeu.

Mise en œuvre de l’outil de recherche

Pour aider les utilisateurs affectés, la team Milk Sad a mis au point un outil permettant de vérifier si un wallet est compromis. Cet outil se concentre principalement sur les formats d’adresses et les chemins de dérivation conformes aux standards BIP44, BIP49 et BIP84. Grâce à une approche méticuleuse, l’équipe a réussi à identifier rapidement les portefeuilles inutilisés et à se concentrer sur ceux actifs.

Les résultats

L’enquête a révélé la présence de 2600 portefeuilles distincts compromis, un chiffre significatif révélant l’ampleur de la vulnérabilité. La plupart de ces portefeuilles semblent avoir été générés automatiquement et pourraient appartenir au même utilisateur, suggérant une exploitation extensive de la vulnérabilité.

Chronologie de la divulgation

La divulgation de la vulnérabilité et les réponses de l’équipe de développement de Libbitcoin ont suivi une séquence précise. La controverse autour de la reconnaissance de la vulnérabilité a marqué les échanges entre les chercheurs et les développeurs, illustrant les défis de la collaboration et de la communication dans le domaine de la sécurité des cryptomonnaies.

La réponse des développeurs de Libbitcoin

Les développeurs de Libbitcoin ont adopté une position défensive, minimisant l’impact de la vulnérabilité. Cette approche a conduit à des désaccords avec la team Milk Sad, qui a maintenu ses affirmations concernant la gravité de la vulnérabilité.

Quelles leçons tirer de l’affaire Milk Sad ?

La découverte de la vulnérabilité par la team Milk Sad met en lumière l’importance de pratiques sécurisées et bien réfléchies dans la gestion des cryptomonnaies. Les enseignements tirés de cet incident incluent l’utilisation de passphrases BIP39 robustes, la confiance accordée uniquement aux logiciels qui ont fait l’objet d’audits approfondis, et une documentation précise des processus de création et de gestion des wallets.

La team Milk Sad, bien qu’ayant révélé une vulnérabilité majeure, n’a pas cherché de récompense financière pour leurs efforts. Ils encouragent plutôt la communauté à soutenir les services professionnels offerts par leurs membres, soulignant leur engagement envers la sécurité et la robustesse du domaine des cryptomonnaies.

Voter pour cet article
Ecrit par
Martin de Reis

Je m'appelle Martin et je suis rédacteur sur actucrypto.info. Je suis passionné par les crypto-monnaies et par la Defi en particulier. J'aime apprendre de nouvelles choses sur ce sujet et je suis toujours à la recherche des dernières informations à ce sujet. J'ai commencé à investir dans les cryptos il y a quelques années et j'apprécie l'idée de pouvoir investir facilement et à moindre coût dans des actifs numériques. C'est pourquoi je consacre beaucoup de temps à m'informer sur les crypto-monnaies et à écrire sur le sujet.

Catégories

Articles Liés

Les ambitions de la Russie pour le Bitcoin et les actifs numériques

Le Président russe Vladimir Poutine a récemment exprimé son soutien sans équivoque envers le...

Pepe Coin : les signaux indiquent un potentiel de gains multipliés par sept

L’engouement autour du Pepe Coin, ce jeton mème à thème de grenouille, semble...

Nomination de Jorge G. Tenreiro à la SEC : un signe d’avenir pour le secteur des cryptoactifs ?

‘actualité récente concernant le secteur des cryptoactifs a été marquée par la nomination de Jorge...

Boom des ventes de Trezor avec la montée du Bitcoin

À l’approche d’une valeur record de 100K pour le Bitcoin, Trezor, entreprise pionnière dans les portefeuilles...