EMURGO, l'une des organisations fondatrices de la blockchain Cardano, a annoncé qu'elle a défini un plan pour récupérer les ressources perdues lors de l'attaque qui a touché le portefeuille SecondFi. Selon l'entreprise, l'objectif est de conclure le processus de restitution des fonds dans environ deux semaines, après avoir finalisé le développement et les tests du mécanisme de récupération.
Le communiqué a été publié par le CEO d'EMURGO, Phillip Pon, qui a indiqué que l'enquête forensique était déjà terminée. L'entreprise a affirmé avoir validé les soldes des portefeuilles affectés et identifié ce qu'elle a qualifié de "solution de récupération claire".
Selon le calendrier présenté, la première semaine sera consacrée au développement de l'outil chargé de la récupération des actifs. Ensuite, la solution passera par une étape de tests avant que les utilisateurs puissent commencer à recevoir les montants correspondants.
L'entreprise a également conseillé aux clients affectés de ne pas déplacer les fonds présents dans les portefeuilles compromis ni d'effectuer toute procédure ne faisant pas partie des instructions officielles de SecondFi. Selon EMURGO, tout le processus a été structuré en tenant compte de l'état actuel des portefeuilles touchés par l'incident.
Phillip Pon a également renforcé qu'aucune étape exigeant la participation des utilisateurs n'a été initiée. Il a averti que SecondFi ne demandera jamais de clés privées, de phrases-seed ou de toute autre donnée d'accès aux portefeuilles pendant le processus de récupération.
L'annonce représente la première fois que l'entreprise présente un délai concret pour le remboursement des utilisateurs. Malgré cela, les détails techniques sur le mécanisme de restitution ainsi que la méthodologie de calcul des montants que chaque client devra recevoir n'ont pas encore été divulgués.
L'attaque a affecté 374 portefeuilles
Selon les informations de l'entreprise, la vulnérabilité a été exploitée entre les 21 et 23 juin. Trois attaques externes ont entraîné le détournement d'environ 16 millions de ADA, évalués à environ US$ 2,4 millions à l'époque, répartis entre 374 adresses.
En plus de ces mouvements, SecondFi a indiqué avoir réalisé un transfert préventif d'environ 129 millions de ADA vers un dépositaire tiers indépendant. La mesure avait pour objectif d'empêcher de nouvelles pertes pendant que l'enquête était en cours.
L'entreprise a également identifié deux portefeuilles numériques utilisés par les assaillants. L'un d'eux aurait été responsable du vidage de 171 portefeuilles, tandis que le second en a affecté 203 autres. Environ 4 millions de ADA liés à l'attaque restent dans une adresse surveillée par les équipes responsables, tandis que l'affaire a déjà été signalée aux autorités.
Le rapport indique une origine possible de la vulnérabilité
SecondFi a attribué le problème à une faille dans son logiciel de génération de portefeuilles, qui aurait permis l'exposition des clés privées lors de la signature des transactions. Selon l'entreprise, restaurer une phrase de récupération dans un autre portefeuille n'élimine pas le risque lorsque l'adresse compromise continue d'être utilisée.
Une analyse technique indépendante publiée par Tibane Labs a présenté une explication plus détaillée. Le rapport indique que la vulnérabilité n'était pas liée à la réutilisation de nonce, mais plutôt à une erreur dans l'implémentation de la signature Ed25519.
Selon les chercheurs, un SDK expérimental appelé trantor, mis à disposition sur npm par un développeur indépendant, aurait été incorporé à la place de la version auditée auparavant utilisée par EMURGO. Ainsi, des informations qui auraient dû rester secrètes sont devenues reconstructibles à partir d'une seule signature enregistrée sur la blockchain.
Tibane Labs a également affirmé que la bibliothèque utilisée est restée sécurisée, mais que l'implémentation adoptée par le portefeuille a laissé un paramètre essentiel sans définition, permettant que les clés privées soient récupérées à partir de signatures publiques.
Jusqu'à présent, EMURGO n'a pas publié d'analyse technique détaillée sur l'incident ni commenté officiellement les conclusions présentées par le rapport indépendant. Le chercheur en sécurité Taylor Monahan a également déclaré cette semaine que SecondFi "a développé sa propre cryptographie" et que le logiciel était à code fermé et non audité.
L'analyse de Tibane Labs indique que seules les signatures réalisées à partir du 8 juin auraient été exposées, tandis que les transactions signées avant cette date sont restées protégées par l'implémentation précédemment auditée.

