Découverte d’une faille de sécurité alarmante par l’équipe MILK SAD
Un vol inexpliqué de Bitcoins signalant une vulnérabilité majeure
L’équipe de chercheurs codée MILK SAD a dévoilé une faille cryptographique stupéfiante affectant l’une des plus anciennes librairies open source associées au Bitcoin. Cette révélation provient après qu’un utilisateur ait inexplicablement perdu ses bitcoins, malgré avoir pris toutes les mesures de sécurité apparentes et nécessaires lors de la création de son portefeuille. La librairie en question est essentielle; elle est largement utilisée pour générer des phrases mnémoniques qui jouent un rôle crucial dans la sécurité des clefs privées des utilisateurs.
Investigation approfondie sur la faille
En plongeant profondément dans le mystère, MILK SAD a commencé une enquête approfondie, révélant que plusieurs victimes partageaient des similitudes inquiétantes dans leurs configurations de sécurité. Les victimes avaient suivi des protocoles de sécurité rigoureux: génération de phrases mnémoniques sur des ordinateurs isolés d’Internet, utilisation de hardwares wallets et l’application de multiples couches de sécurité. Cependant, malgré toutes ces mesures, ils ont été confrontés à la disparition inexpliquée de leurs cryptomonnaies.
Mise en lumière des doutes et des suspicions
L’investigation a mené à une série de découvertes alarmantes, la mise en doute du générateur de nombres pseudo-aléatoires utilisé, Mersenne Twister, n’étant pas cryptographiquement sécurisé (CSPRNG). La vulnérabilité résidait dans la manière dont les phrases mnémoniques étaient générées, exposant une faiblesse cruciale que les hackers pouvaient exploiter pour dérober les précieuses cryptomonnaies des utilisateurs.
Révélation des faiblesses du système
L’équipe MILK SAD a révélé que la commande responsable de la génération des phrases mnémoniques pourrait être à la base du problème. Les experts ont découvert que le générateur était initialisé en utilisant l’horloge système, une méthode qui s’est avérée être une vulnérabilité massive. Cette méthode de génération basée sur le temps a exposé les utilisateurs à des risques importants, permettant potentiellement aux attaquants d’inverser ingénieusement l’état interne de Mersenne Twister et de compromettre ainsi les clés privées générées.
Milk Sad : pionnier dans la révélation de la vulnérabilité
Les chercheurs de MILK SAD ont méticuleusement démêlé et mis en lumière une vulnérabilité jusqu’alors inconnue, renforçant ainsi notre compréhension des risques latents dans les technologies cryptographiques. Ils ont démontré une expertise exceptionnelle et une diligence dans la révélation de failles qui auraient pu rester cachées, exposant les utilisateurs à des risques imprévus et considérables. Les découvertes et analyses de MILK SAD sont essentielles pour la communauté, contribuant grandement à la navigation dans le paysage complexe et souvent incertain de la cryptographie et de la sécurité des cryptomonnaies.
Un avenir plus sécurisé grâce à Milk Sad
Grâce à l’engagement et à l’expertise de l’équipe MILK SAD, des lumières ont été jetées sur des zones d’ombre cruciales dans la sécurité des cryptomonnaies. Les révélations ont non seulement aidé à identifier des vulnérabilités majeures mais aussi à mettre en avant l’importance de l’innovation et de l’amélioration constantes des technologies et protocoles de sécurité en place. Les efforts de MILK SAD ont marqué une étape significative vers un écosystème de cryptomonnaies plus sûr et plus robuste.
Impact de la découverte
L’affaire révélée rappelle deux vulnérabilités précédentes trouvées dans Cake Wallet et Trust Wallet, où le principal problème était une faible entropie dans la génération des « seeds » (clés privées).
Affaires précédentes (Cake Wallet et Trust Wallet)
- Cake Wallet : Une vulnérabilité similaire avait été découverte en mai 2021, causée par un faible niveau d’entropie lors de la génération des « seeds ». Un code utilisé a également montré le risque d’avoir une Random() fonction revenant à 0 ou au temps système.
- Trust Wallet : Une vulnérabilité récente a été identifiée, ayant causé une perte d’environ 170 000 dollars. Cela était dû à une mauvaise utilisation de l’algorithme Mersenne Twister MT19937, avec une faible entropie dans les 32 bits utilisés pour générer les clés.
Détails des vulnérabilités
Les deux wallets ont utilisé l’algorithme MT19937 mais de manière différente. Dans le cas de Trust Wallet, une entropie de 128 bits était requise pour les phrases mnémoniques de 12 mots, tandis que bx offrait plus de flexibilité avec des sorties de 128, 192, ou 256 bits.
Plan de divulgation
Le plan de divulgation pour « Milk Sad » était plus rapide en raison de l’urgence et du risque que les attaquants exploitent la vulnérabilité. Un objectif de 7 jours a été fixé pour la divulgation, contrairement à l’approche standard de 90 jours.
Bilan des vols
L’estimation basse des fonds volés était d’environ 900 000 dollars, incluant divers types de cryptomonnaies comme Bitcoin, Ethereum, Ripple, Dogecoin, et d’autres. Les chercheurs ont identifié des adresses suspectes et des mouvements de fonds qui semblent être liés à l’exploitation de cette vulnérabilité.
Motivations des équipes « Milk Sad »
L’équipe a mené cette investigation principalement pour évaluer les dommages financiers causés par la vulnérabilité et pour prouver l’existence réelle de la faille. Ils espéraient également pouvoir informer les propriétaires des portefeuilles à risque, bien qu’aucun fonds significatif à risque n’ait été identifié lors de leurs recherches.
Une équipe de chercheurs à découvert une faille à l’origine du vol de plusieurs #bitcoins .
Le souci réside dans un software chargé de générer les clefs privées des utilisateurs, ce qu’il faisait avec une entropie insuffisantehttps://t.co/PFLl5j9V31
— Journal du Coin (@LeJournalDuCoin) October 22, 2023
Prévenir un mal incurable ?
La team Milk Sad a émis des réserves majeures quant à la gestion des fonds compromis dans les wallets. Malgré leur désir d’aider, intervenir directement en déplaçant des fonds pour prévenir un vol ultérieur pose un véritable casse-tête légal. Ils soulignent la complexité d’une telle démarche, surtout en l’absence d’une entité centralisée qui pourrait vérifier les identités et les propriétés des fonds en jeu.
Mise en œuvre de l’outil de recherche
Pour aider les utilisateurs affectés, la team Milk Sad a mis au point un outil permettant de vérifier si un wallet est compromis. Cet outil se concentre principalement sur les formats d’adresses et les chemins de dérivation conformes aux standards BIP44, BIP49 et BIP84. Grâce à une approche méticuleuse, l’équipe a réussi à identifier rapidement les portefeuilles inutilisés et à se concentrer sur ceux actifs.
Les résultats
L’enquête a révélé la présence de 2600 portefeuilles distincts compromis, un chiffre significatif révélant l’ampleur de la vulnérabilité. La plupart de ces portefeuilles semblent avoir été générés automatiquement et pourraient appartenir au même utilisateur, suggérant une exploitation extensive de la vulnérabilité.
Chronologie de la divulgation
La divulgation de la vulnérabilité et les réponses de l’équipe de développement de Libbitcoin ont suivi une séquence précise. La controverse autour de la reconnaissance de la vulnérabilité a marqué les échanges entre les chercheurs et les développeurs, illustrant les défis de la collaboration et de la communication dans le domaine de la sécurité des cryptomonnaies.
La réponse des développeurs de Libbitcoin
Les développeurs de Libbitcoin ont adopté une position défensive, minimisant l’impact de la vulnérabilité. Cette approche a conduit à des désaccords avec la team Milk Sad, qui a maintenu ses affirmations concernant la gravité de la vulnérabilité.
Quelles leçons tirer de l’affaire Milk Sad ?
La découverte de la vulnérabilité par la team Milk Sad met en lumière l’importance de pratiques sécurisées et bien réfléchies dans la gestion des cryptomonnaies. Les enseignements tirés de cet incident incluent l’utilisation de passphrases BIP39 robustes, la confiance accordée uniquement aux logiciels qui ont fait l’objet d’audits approfondis, et une documentation précise des processus de création et de gestion des wallets.
La team Milk Sad, bien qu’ayant révélé une vulnérabilité majeure, n’a pas cherché de récompense financière pour leurs efforts. Ils encouragent plutôt la communauté à soutenir les services professionnels offerts par leurs membres, soulignant leur engagement envers la sécurité et la robustesse du domaine des cryptomonnaies.