Silk Road 2 perd plus de 2,6 millions de dollars en bitcoins suite à un piratage présumé

Le site Web de marché noir Silk Road 2 a informé ses clients que tous leurs bitcoins avaient disparu après un piratage massif, au cours duquel au moins 4 476 bitcoins (d'une valeur de plus de 2,6 millions de dollars à l'heure actuelle) ont été volés.prix) seraient volés. Les organisateurs du site imputent la compromission à l'attaque de malléabilité des transactions, dont les médias ont fait état cette semaine.

« Nos premières investigations indiquent qu'un vendeur a exploité une vulnérabilité récemment découverte dans le protocole Bitcoin connue sous le nom de « malléabilité des transactions » pour retirer à plusieurs reprises des pièces de notre système jusqu'à ce qu'il soit complètement vide », a déclaré un message de Defcon, ONEun des modérateurs du site, sur un forum situé sur le réseau Tor.

Le message ajoutait que les voleurs avaient attaqué après que les organisateurs du site eurent tardé à répondre aux inquiétudes généralisées du secteur concernant l'attaque visant à perturber la malléabilité des transactions. « Malgré nos procédures de renforcement et de tests d'intrusion, ce vecteur d'attaque échappait au champ d'application des tests d'intrusion, car il était ancré dans le protocole Bitcoin lui-même », indiquait-il.

En règle générale, un bon principe de sécurité implique qu'un site web basé sur Bitcoin stocke la majeure partie de ses bitcoins hors ligne, afin qu'ils ne puissent pas être volés par des pirates informatiques. Cependant, l'article indiquait que tous ces bitcoins étaient stockés en ligne, en raison des développements back-end du site.

« Nous prévoyions de relancer la nouvelle fonctionnalité de finalisation automatique et le Centre de litiges le week-end dernier », a déclaré Defcon dans son message. La mise en œuvre de ces deux fonctionnalités aurait augmenté le volume de commandes finalisées, permettant ainsi au site de rendre tous les bitcoins disponibles instantanément.

Le message était accompagné de nombreuses excuses. « J'aurais dû suivre l'exemple de MtGox et Bitstamp et désactiver les retraits dès que le problème de malléabilité a été signalé. J'ai tardé à réagir et j'étais trop sceptique quant à l'éventuel problème », a déclaré Defcon, avant de publier les transactions frauduleuses et de demander l'aide de la communauté pour démanteler le voleur présumé.

Le message suggérait que les portefeuilles séquestrés (qui conservent les fonds jusqu'à la livraison des marchandises) avaient été compromis. ONE T pas certain que les portefeuilles personnels des utilisateurs (contenant les fonds déposés mais non dépensés, ou reçus des clients mais non retirés) aient été volés.

Certains messages sur les forums suggéraient qu'ils avaient également été compromis. « Il semble que ce soit le cas, du moins dans mon cas. Bien que je n'aie déposé que 0,1286 BTC hier soir, je vois une transaction sur la blockchain qui a envoyé un paiement à une adresse, alors que je n'ai effectué aucune transaction de ce type », a déclaré un utilisateur se faisant appeler « UncleFester ».

« La blockchain montre que mon portefeuille SR est vidé. Donc, l'escrow et les portefeuilles ont tous disparu :-( », a déclaré un autre, « meathead_420 ».

D'autres ont suggéré que toutes les pièces restantes auraient pu être retirées du serveur Silk Road 2 pendant que la situation était résolue.

Comment est-ce arrivé?

On ignore encore comment une attaque par malléabilité des transactions a pu entraîner la suppression complète d'un compte séquestre. Cette attaque consiste à modifier l' ID d'une transaction Bitcoin afin de faire croire à l'expéditeur qu'elle n'a T eu lieu.

[post-citation]

Comme nousdétaillé Plus tôt cette semaine, un simple changement d' ID ne suffit T à provoquer le vol d'une pièce. La personne ou l'organisation envoyant les bitcoins (en l'occurrence, Silk Road) devrait vraisemblablement les renvoyer immédiatement et automatiquement en cas de réclamation frauduleuse d'un client, et devrait constater sans sourciller que près de 5 000 bitcoins disparaissent de ses comptes séquestrés.

« Désolé Defcon, mais si MT Gox et Bitstamp ont eu le recul nécessaire pour annuler les retraits pendant qu'ils s'occupaient du bug, pourquoi n'avez-vous pas pris les mêmes mesures ? » demanda « Soloist ».

"Pourquoi a-t-il fallupour toujours "Je déplace des fonds dans et hors de mon portefeuille, mais chaque dernier BIT de BTC disparaît en un clin d'œil ?" a déclaré "garconSR2" en réponse au message de Defcon.

Les experts techniques étaient perplexes et sceptiques. « Des criminels pourraient-ils commettre des erreurs stupides ? C'est tout à fait possible. La plupart des sites du Deep Web comme celui-ci sont probablement des pots de miel ou des arnaques à long terme », a déclaré Jeff Garzik, développeur CORE de Bitcoin .

Defon a fourni quelques détails sur l'attaque, expliquant qu'une personne, probablement basée en France, avait utilisé plusieurs comptes fournisseurs pour commander les uns auprès des autres afin de trouver et d'exploiter la vulnérabilité. Le compte principal s'appelait « narco93 », précise le message.

Defcon a proposé d'aider les personnes les plus exposées au vol en utilisant ses fonds personnels. Au moins un utilisateur, dimon114, semblait dans le besoin. « Si mes fournisseurs n'ont T livré ce que j'ai commandé, je suis maintenant en grave danger physique », a-t-il déclaré.

Si beaucoup ont mis en doute l'honnêteté de l'histoire, d'autres se sont appuyés sur les preuves fournies par Defcon pour tenter d'obtenir plus de détails. Un utilisateur a trouvé un portefeuille en ligne qui, selon lui, pourrait être une destination probable pour les fonds. Ce portefeuille blockchainsemble avoir reçu 8566 bitcoins sur 60 transactionsau cours des deux derniers joursUn peu plus de la moitié d'entre eux sont encore là au moment de la rédaction de cet article. Rien ne prouve à ce stade que ce portefeuille ait été utilisé par un voleur présumé de Bitcoin .

Utilisateur anonymeimage via Shutterstock