La disparition de 900 000 $ met l'accent sur le projet Bitcoin vintage Libbitcoin

• La société de sécurité informatique Distrust affirme qu'au moins 900 000 dollars ont été volés sur plusieurs blockchains.
• Des pirates ont pu exploiter une vulnérabilité dans l'explorateur Libbitcoin, un outil de ligne de commande open source ou une interface texte utilisée par les développeurs Bitcoin pour produire des clés cryptographiques et communiquer avec la blockchain.

En 2011, deux ans seulement après le lancement de Bitcoin , le développeur anarchiste anglo-iranien Amir Taakia et un groupe de codeurs open source ont créé une alternative à Bitcoin CORE – le moyen original et toujours le plus populaire de se connecter au réseau Bitcoin .

Ce logiciel alternatif, baptisé Libbitcoin, a désormais évolué vers une suite complète d’outils – une bibliothèque – pour des fonctions critiques telles que la communication avec la blockchain Bitcoin et la génération de clés cryptographiques.

Il a même été présenté dans le livre populaire et sans doute canonique de l'éducateur Bitcoin Andreas Antonopoulos Maîtriser Bitcoin.

Mais après la disparition d'environ 900 000 $ de divers portefeuilles d'utilisateurs au cours des derniers mois, Libbitcoin, autrefois présumé sûr, s'est avéré dangereux.

Voici comment s'est déroulée la dernière saga, selon un rapport surmilksad.info, qui détaille les conclusions deMéfiance, la société de sécurité qui a découvert la vulnérabilité en juillet, assistée d'un groupe La rédaction indépendants.

En mai, des pirates informatiques ont commencé à voler secrètement des fonds à des utilisateurs sans méfiance après avoir découvert une vulnérabilité obscure dans un certain nombre de portefeuilles générés par l'explorateur Libbitcoin, appeléBX.

La vulnérabilité a été surnommée « Milk Sad » parce que « milk » et « sad » étaientles deux premiers motsdans une phrase de départ de récupération de portefeuille générée par la vulnérabilité, indique le rapport.

Le braquage le plus important – 29,65 Bitcoin (BTC) d'une valeur d'environ 870 000 $ aux taux actuels - a eu lieu le 12 juillet. Distrust affirme qu'un total d'au moins 900 000 $ a été volé sur plusieurs blockchains, y compris dans certains des quelque 2 600 portefeuilles Bitcoin affectés par la vulnérabilité.

Les portefeuilles matériels comme Trezor et Ledger semblent avoir été épargnés, mais il existe encore un certain nombre de portefeuilles en danger, et l'ampleur totale de l'argent volé reste « encore à déterminer ».selonà un tweet du 8 août d'Anton Livaja, membre de l'équipe Distrust.

BX est livré avec une commande texte appelée « bx seed » qui utilise l’horloge de l’ordinateur d’un développeur pour produire une phrase de départ pour créer un portefeuille.

Les logiciels de Crypto fournissent des combinaisons aléatoires de 12 à 24 mots ou phrases de départ aux utilisateurs qui souhaitent « récupérer » ou retrouver l’accès à leurs portefeuilles en cas de perte accidentelle.

Mais avec BX, la phrase résultante s'avère insuffisamment aléatoire. Selon le rapport, « un PC de jeu correct peut effectuer une recherche par force brute », c'est-à-dire deviner toutes les combinaisons de mots possibles pour la phrase source d'un utilisateur, « en moins d'une journée ».

« Imaginez que vous sécurisez votre compte bancaire en ligne avec un gestionnaire de mots de passe qui crée un mot de passe long et aléatoire », indique le rapport. « Mais il crée souvent les mêmes mots de passe pour chaque utilisateur. Des personnes malveillantes ont compris le principe et ont vidé les fonds de tous les comptes qu'elles ont pu trouver. »

Ethereum, Zcash, Solana et Dogecoin touchés

Milk Sad ne se limite pas au Bitcoin. Ethereum, Zcash, Solana et même Dogecoin figurent parmi les huit blockchains affectées. Des vulnérabilités similaires, mais non identiques, ont été détectées. Portefeuille à CAKE et Portefeuille de confiance, deux applications de portefeuille multi-chaînes.

En règle générale, les phrases de départ sont créées à l’aide d’un générateur capable de produire un ensemble ou un « espace clé » avec un nombre vertigineux de combinaisons de mots uniques représentées par l’exposant d’un chiffre binaire ou «BIT» – essentiellement, le nombre deux élevé à la puissance 128, 192 ou 256.

BX dispose d'un espace de clés de 32 BIT , qui ne peut générer qu'environ 4,3 milliards de combinaisons de mots uniques. « Ce n'est pas autant de combinaisons qu'il n'y paraît », selon le rapport.

Eric Voskuil, développeur principal de BX, a admis que le générateur de seed était effectivement non sécurisé, mais a insisté sur l'absence de bug dans le logiciel, arguant que la commande bx seed text avait été mal utilisée. Il a tweeté une capture d'écran de la documentation GitHub de l'application qui avertit les développeurs de cette vulnérabilité.

« Ce n'est pas un bug dans BX ou Libbitcoin », a déclaré Voskuil.tweeté« C’est un développement de portefeuille imprudent. »

Plusieurs cryptographes de la communauté Bitcoin ont exprimé un avis différent.

« L’affaire est limpide »,tweeté Tim Ruffing, cryptographe chez Blockstream, société d'infrastructure Bitcoin . « C'est votre bug, point final. »