ads
bc-game

Défaillance de portefeuilles de cryptomonnaies expose des millions en Bitcoin et Ethereum

3 min de lecture
PortalCripto
Défaillance de portefeuilles de cryptomonnaies expose des millions en Bitcoin et Ethereum
Source : Mohammad Yasir/Pexels — Défaillance de portefeuilles de cryptomonnaies expose des millions en Bitcoin et Ethereum
Publicité

Des milliers de portefeuilles de cryptomonnaies pourraient être vulnérables à des attaques en raison d’un défaut dans la génération des phrases de récupération (seed phrases). Le problème a été identifié par l’entreprise de sécurité blockchain Coinspect, qui a classé la vulnérabilité comme "Ill Bloom".

Selon l’entreprise, le défaut est lié à l’utilisation d’un générateur de nombres pseudoaléatoires non sécurisé lors de la création des phrases de récupération. Dans la pratique, cela réduit l’aléa attendu, rendant certaines combinaisons plus prévisibles et facilitant les attaques par des criminels.

Les portefeuilles potentiellement affectés fonctionnent sur les réseaux Bitcoin, Ethereum, Polygon, Rootstock, Tron et Solana. D’après Coinspect, le problème est plus courant dans certains portefeuilles logiciels pour appareils mobiles, en particulier les moins connus et utilisés.

L’alerte a pris de l’ampleur après que des enquêteurs ont identifié des pertes d’au moins US$ 5 millions en cryptomonnaies depuis le 27 mai. Une partie de ce montant a été vidée dans une attaque qui a compromis 431 portefeuilles sur un univers de 2.114 adresses vulnérables, entraînant le vol d’environ US$ 3,1 millions. Dimanche dernier, US$ 2 millions ont été déplacés depuis des portefeuilles exposés.

Coinspect conseille aux utilisateurs de vérifier leurs adresses via l’outil mis à disposition par l’entreprise. Comme la vulnérabilité pourrait encore être exploitée, les détails techniques complets restent confidentiels afin d’éviter de nouvelles attaques.

“S’il y a eu un mouvement récent de fonds sans votre autorisation, cette vulnérabilité peut en être la cause”, a affirmé le Coinspect.

L’affaire fait également l’objet d’un suivi par d’autres entreprises spécialisées dans la sécurité des cryptomonnaies.

“Nous surveillons de près l’alerte de risque d’aléatoire faible du portefeuille Ill Bloom émise par Coinspect”, a publié SlowMist sur X lundi.

Les portefeuilles matériels n’ont pas été touchés

À ce stade, les enquêtes indiquent que les utilisateurs qui ont créé leurs phrases de récupération sur des portefeuilles matériels restent protégés contre cette vulnérabilité.

« Les preuves actuelles indiquent que les utilisateurs qui ont généré leur seed avec un portefeuille matériel ne sont pas affectés », a déclaré Coinspect.

L’entreprise a ajouté que la plupart des portefeuilles logiciels actuels ne présentent pas non plus ce problème. D’après les chercheurs, le plus grand risque est concentré sur des applications mobiles moins populaires développées ces dernières années.

« Des recherches supplémentaires indiquent que la plupart des portefeuilles logiciels actuels ne sont pas non plus vulnérables », a ajouté. « Les meilleurs candidats sont les utilisateurs qui ont généré leur seed dans des portefeuilles logiciels pour des appareils mobiles moins utilisés. »

Des défaillances similaires ont déjà causé des pertes

Ce n’est pas la première fois qu’une vulnérabilité dans la génération de phrases de récupération met les utilisateurs en danger.

En 2023, des chercheurs ont découvert une faille dans l’extension de navigateur de Trust Wallet qui limitait drastiquement la quantité de combinaisons possibles des seed phrases. La vulnérabilité aurait pu permettre des attaques par force brute en n’utilisant que quelques GPUs, mais elle a été corrigée avant qu’il y ait des registres de pertes de fonds.

La même année, une autre faille a touché la Libbitcoin Explorer. Le problème a permis à des attaquants de casser des clés privées par force brute, entraînant le vol d’environ US$ 900 mil en crypto-monnaies.

Ces épisodes montrent que la sécurité d’un portefeuille commence lors de la génération de la phrase de récupération. Lorsque l’aléatoire utilisé dans ce processus est compromis, même des mécanismes avancés de protection peuvent ne pas suffire à empêcher des criminels de découvrir les clés et de vider les actifs stockés.

Tags