Cet étudiant de première année est prêt à attaquer votre Cryptomonnaie à 51 %

Un étudiant de première année s'en prend à votre Cryptomonnaie – mais pas pour voler vos pièces, juste pour prouver que quelqu'un pourrait le faire assez facilement.

Selon un passionné de Crypto et chercheur en sécurité connu sous le pseudonyme « geocold51 », la plupart des cryptomonnaies à petite échelle sont menacées par la vulnérabilité la plus redoutée du secteur : l'attaque des 51 %. Lors de cette attaque, un mineur s'empare de plus de la moitié de la puissance de minage d'une cryptomonnaie, ce qui lui permet d'effacer une transaction passée et de la remplacer par une autre, ce qu'on appelle une double dépense.

Bien que l'écosystème qui a été construit autour du Bitcoin et d'autres cryptomonnaies de premier plan les rende résistants à ce type d'attaques, d'autres cryptomonnaies avec une communauté de mineurs moins nombreuse ne sont T aussi sécurisées.

Bien sûr, sur des pièces plus petites, ces types d’attaques sontde plus en plus courantDans un nouveau rapport, le Groupe 1B a découvert un vol de Crypto d'une valeur de 20 millions de dollars réalisé avec de telles attaques en 2018, comme l'a rapporté TNW.

Le samedi 13 octobre, geocold51 a décidé de montrer à quel point c'était facile - en diffusant en direct sa tentative d'attaquer à 51 % Bitcoin Private, une Crypto avec une capitalisation boursière proche de 47 millions de dollars (au moment de la rédaction).

S'adressant à CoinDesk, geocold51 a déclaré que si une Cryptomonnaie peut être si facilement attaquée, « c'est en quelque sorte une mauvaise évaluation d'une monnaie donnée par différents investisseurs ».

Geocold51 estime qu'il a dépensé 100 $ pour arriver au point où il aurait pu faire une démonstration de double dépense sur Bitcoin Private, mais il s'est arrêté parce que son livestream a été retiré.

Juste pour être clair, geocold51n'était T intéressé à volerIl a donc organisé une démonstration où il envoyait ses Bitcoin privés vers deux portefeuilles différents. De cette façon, aucun utilisateur ni fournisseur d'échange ne se fait arnaquer.

Pour lui, il s’agit de montrer que de nombreuses pièces sont vulnérables et, par conséquent, peut-être largement surévaluées.

Cela dit, il estime que pour réaliser un profit sur une attaque à 51 %, il en coûterait à un attaquant malveillant environ le double – soit environ 200 $ – pour acheter du Bitcoin sur une bourse avec son Bitcoin privé, puis effectuer une autre transaction sur la chaîne plus longue qui invalide la première transaction, lui rendant ses pièces privées Bitcoin et laissant la bourse à court.

Bien que le processus d'échange soit plus coûteux, l'attaque à 51 % est devenue relativement économique grâce à l'essor du cloud computing. Selon geocold51, sans accès au cloud mining, une attaque comme celle qu'il a menée sur Bitcoin Private lui aurait coûté environ 100 000 dollars en matériel.

« Nicehash et la possibilité de louer de la puissance de hachage changent fondamentalement le paysage des attaques à 51 % », a déclaré geocold51 à CoinDesk, ajoutant :

« S'il n'y a pas beaucoup de puissance de hachage pour le sécuriser, mais qu'il y a beaucoup de valeur qui lui est associée, c'est là que vous pouvez faire une attaque à 51 %. »

Parce que geocold51 a annoncé le livestreamsur Reddit(le message a reçu 1 500 votes positifs et 60 000 vues, a-t-il déclaré), la tentative d'attaque a attiré BIT d'attention - même le créateur du Dogecoin , Jackson Palmertweetéà propos de regarder.

Cependant, le livestream n'a T fonctionné exactement comme prévu, et pour cette raison, geocold51 a annoncé qu'il lancerait une attaque complète ultérieurement. Il a indiqué à CoinDesk qu'il le ferait sans stream cette semaine et publierait un enregistrement de sa démonstration sur YouTube peu après.

L'inspiration

Le pseudo du jeune chercheur en sécurité pourrait rappeler à certains celui d'un autre gourou de la sécurité.

Selon geocold51, il s'est inspiré de ONEun des hackers les plus légendaires de ces dernières années : geohot, qui a notamment jailbreaké l'iPhone original, ce qui signifie que les restrictions sur les opérateurs et les applications ont été supprimées.

Ces jours-ci, geohot aime se diffuser en direct à la recherche de vulnérabilités.

Et geocold51 a pensé qu'il pourrait commencer à faire la même chose au sein de l'écosystème des Cryptomonnaie .

Geocold51 possède une bonne connaissance des Crypto. À l'époque où le matériel GPU était encore lucratif pour les mineurs amateurs, Geocold51 a miné pas BIT de Bitcoin. Il a ensuite commencé à trader sur Cryptsy, avant que le PDG de la plateforme ne le déclare. s'est éloignéavec des millions de dollars dans l'argent de ses utilisateurs.

Il a ainsi perdu presque tous ses Bitcoin.

Mais il restait intéressé par ce secteur et continuait d'étudier son fonctionnement. Alors que le secteur se divisait en centaines et milliers de cryptomonnaies différentes, geocold51 pensait pouvoir mettre en lumière les failles de sécurité.

D'autres s'y sont également intéressés. Sa publication Reddit sur le défi a recueilli 1 500 votes positifs et, sur Twitch, il a reçu 888 $ de dons.

Le jour de l'attaque

Ce qui est également intéressant, c'est que Bitcoin Private n'était T sa première cible.

Au lieu de cela, geocold51 avait l'intention de s'en prendre à einsteinium, un fork de Litecoin géré par des bénévoles avec une capitalisation boursière de 19 millions de dollars et un volume de transactions de 598 000 dollars par jour, au moment de la rédaction de cet article.

Il a annoncé publiquement son intention et, alors qu'il se préparait à l'attaque, les commentateurs de son flux Twitch ont noté que le taux de hachage de la crypto-monnaie montait en flèche.

Ayant annoncé l'attaque à l'avance, la communauté Einsteinium a augmenté le taux de hachage, craignant qu'une telle attaque ne provoque une scission de la chaîne et ne crée une seconde blockchain sur laquelle les utilisateurs pourraient rester bloqués, selon Ben Kurland, ONEun des membres du conseil d'administration du projet. À cette époque, Einsteinium était en pleine mise à jour de son portefeuille. Si les utilisateurs ou les plateformes d'échange ne mettaient pas à jour leurs portefeuilles à temps, la scission de la blockchain aurait pu entraîner des pertes matérielles.

Voyant la puissance de hachage accrue, geocold51 a décidé d'attaquer Bitcoin Private à la place.

Selon geocold51, il a cumulé plus de 600 vues lors de son live Twitch, avant que Twitch ne l'interrompe. L'équipe Twitch, a-t-il déclaré,l'a temporairement suspendudans la section « tentatives de menaces de préjudice » de ses directives communautaires.

Il a publié un autre livestream sur Stream.Me une demi-heure plus tard.

Une fois en poste, il a pu embaucher des mineurs via Nicehash pour miner des Bitcoin en privé. Il a même miné un bloc presque immédiatement. Et en très peu de temps, il contrôlait plus de 50 % de la puissance de hachage de la blockchain.

Très vite, un compte appelé « CommunityWatch » est apparu dans le flux et a écrit : « Juste une QUICK question : je suppose que tout ce que nous faisons ici est légal ? »

Quelques minutes plus tard, le flux vidéo de geocold51 sur Stream.Me s'est coupé.

Geocold51 a déclaré à CoinDesk qu'il avait déjà obtenu environ les deux tiers du taux de hachage sur Bitcoin Private. Il avait transmis sa première transaction à un deuxième portefeuille qu'il contrôlait. Il avait également enregistré une autre transaction sur une chaîne hors ligne, laquelle était dirigée vers un troisième portefeuille qu'il contrôlait.

Il était sur le point d'envoyer cette chaîne plus longue au réseau, mais comme le but était de montrer aux gens que l'attaque pouvait être réalisée facilement, il s'est arrêté une fois les diffusions en direct arrêtées.

Protégé d'une autre manière

Néanmoins, geocold51 est déterminé à Réseaux sociaux à bien sa mission et enregistrera donc sa prochaine attaque pour la partager bientôt sur YouTube.

Et bien que cette vulnérabilité soit susceptible d'inquiéter de nombreux membres de la communauté, geocold51 a noté qu'il existe une autre manière de protéger ces pièces, basée sur la théorie des jeux de Cryptomonnaie .

Si quelqu'un tentait de vendre un volume important de cryptomonnaies, leur prix chuterait probablement, car la communauté n'est T suffisamment solide et ne dispose T de liquidités importantes. Ainsi, selon geocold51, même s'il est facile d'acheter de la puissance de hachage et de prendre le contrôle d'un réseau, il pourrait être impossible de générer des profits importants grâce à une attaque.

Néanmoins, geocold51 s'engage à continuer, en utilisant les dons qu'il a reçus pour peut-être même essayer d'attaquer 51 % de plus de crypto-monnaies également.

En fait, il a déclaré à CoinDesk qu'il pourrait attaquer intentionnellement certaines cryptomonnaies ayant mis en place des mesures préventives contre les attaques à 51 %, afin de les tester en production. Par exemple, l'équipe qui développe Horizen (anciennement Zencash) pense avoir trouvé un moyen de décourager les attaques à 51 %en introduisant certaines sanctions pour les mineurs.

Geocold51 a déclaré qu'il serait heureux d'échouer contre certaines de ces mesures.

Selon geocold51, organiser les démonstrations en privé et ajouter une certaine valeur de production à l'enregistrement final donnera probablement un contenu plus édifiant, mais il est toujours un BIT déçu que son plan initial T fonctionné.

À CoinDesk, il a conclu :

« Il y a quelque chose de plutôt chouette dans le fait que ce soit en direct. »

Les équipes de Twitch, Stream.Me et de Bitcoin Private n'ont pas répondu à une Request de commentaire pour cette histoire.

MISE À JOUR (25 octobre 14h46 UTC) :Cette histoire a corrigé le nombre de vues sur le flux Twitch.

Ombre de la main sur le clavierimage via Shutterstock