Vulnérabilité de 1 milliard de dollars découverte sur des wallets crypto : êtes-vous concernés ?
CléUne entreprise de récupération de cryptomonnaies, Unciphered, a découvert une vulnérabilité significative sur les portefeuilles cryptos BitcoinJS. Crypto-Neet s’intéresse à ces nouvelles et à savoir si votre wallet est en réel danger.
Une vulnérabilité majeure dans les portefeuilles BitcoinJS
Le 14 novembre, Unciphered a révélé une vulnérabilité d'une valeur d'un milliard de dollars dans les anciens portefeuilles Bitcoin (BTC) générés avec la bibliothèque BitcoinJS. Cette entreprise de récupération de cryptomonnaies a appris que la bibliothèque JavaScript populaire ne générait pas toujours des clés privées suffisamment aléatoires.
Selon The Washington Post, cette vulnérabilité, appelée « Randstorm », était répandue parmi les portefeuilles cryptos générés entre 2011 et 2016.
Bien qu'aucun détail spécifique sur le bug n'ait été divulgué, le rapport indique que la bibliothèque BitcoinJS ne générait pas correctement les clés privées des portefeuilles cryptos. Le générateur de nombres aléatoires était insuffisant, laissant près d'un milliard de dollars de cryptomonnaies exposé à un piratage potentiel.
Eric Michaud, co-fondateur d'Unciphered, a déclaré : « BitcoinJS était gravement défectueux jusqu'en mars 2014. Toute personne l'utilisant directement est exposée à un risque élevé d'attaque. »
Le développeur de BitcoinJS, Stefan Thomas, a confirmé la vulnérabilité dans un commentaire au Washington Post. Il avait développé le logiciel comme un hobby, en utilisant une grande partie du code d'une source publiée sur le site web de l'Université de Stanford.
« Je me suis surtout concentré sur le fait de ne pas commettre d'erreurs dans mon propre code. Je suis désolé pour toute personne affectée par ce bug », a déclaré Stefan Thomas.
Selon le Washington Post, la bibliothèque BitcoinJS était utilisée par de nombreux sites web liés aux cryptomonnaies, tels que Blockchain.com (anciennement Blockchain.info), Dogechain.info, Block.io, et d'autres. Cependant, Blockchain.com aurait corrigé le problème en ajoutant plus d'aléatoire au générateur de nombres aléatoires.
Il semble que la vulnérabilité de BitcoinJS ne soit pas entièrement nouvelle. En 2018, David Gerard, un expert en systèmes Unix basé au Royaume-Uni, avait déjà révélé avoir découvert des fils de discussion sur le forum Bitcointalk dès 2013 concernant ce problème particulier.
À l'époque, certains portefeuilles Bitcoin basés sur le web utilisaient la fonction SecureRandom() pour générer des clés privées.
Selon Gerard, la fonction génère des clés cryptographiques ayant moins de 48 bits d'entropie, quelle que soit l'entropie de la graine. La fonction JavaScript fait ensuite passer la clé alphanumérique à travers l'obsolète algorithme RC4, généralement considéré comme prévisible. Cette prévisibilité rend la clé privée vulnérable aux attaques de force brute.
CléRédacteur pour Crypto-Neet. J'ai commencé à m'intéresser aux cryptomonnaies en 2017, juste avant le bull run de fin d'année. Après avoir réalisé toutes les erreurs de débutant, j'ai décidé de m'intéresser sérieusement à la blockchain, à la DeFi et au trading. C'est aujourd'hui devenu une passion de tous les jours que je partage à travers des articles d'actualités et des reviews vulgarisées. Passionné aussi par la création de contenus, je tente de créer une expérience intéressante et facile à utiliser pour les lecteurs et utilisateurs. Dernièrement, je me spécialise sur l'utilisation de Midjourney pour accompagner nos contenus sur la cryptomonnaie. Je rédige aussi des articles sur Alti Trading et Tradingbeasts. Retrouvez-moi sur X.
