Incident de sécurité dans le monde du Bitcoin
Un utilisateur de Bitcoin a perdu des fonds après avoir envoyé de la cryptomonnaie à un portefeuille compromis, qui utilisait un identifiant de transaction d’une récompense de bloc Coinbase comme clé privée. L’identifiant de transaction de la Coinbase du bloc 924 982 a servi de clé privée pour le portefeuille, créant ainsi une vulnérabilité de sécurité qui a déclenché une activité automatisée de bots, selon une publication sur les cryptomonnaies de Protos.
« Cet incident a poussé des programmes informatiques automatisés, connectés à la mémoire de Bitcoin (ou mempool), à se disputer les fonds en attente de transaction. »
Ces bots détectent automatiquement les dépôts dans des portefeuilles compromis et diffusent des transactions de remplacement par frais pour surenchérir sur les frais des programmes concurrents destinés aux mineurs pour les transactions de retrait. Dans le cas rapporté, 0,84 BTC a été envoyé et perdu à une adresse avec une clé privée non aléatoire dérivée d’un identifiant de Coinbase d’un bloc, selon les données de la blockchain.
Fonctionnement des bots et des transactions
Les systèmes automatisés utilisent des mécanismes de remplacement par frais pour augmenter progressivement les frais de transaction en concurrence avec d’autres bots. Dans certains cas, les transactions enfants peuvent payer jusqu’à 99,9 % de la valeur de la transaction en frais, selon des observateurs surveillant cette activité.
Les clés privées représentent l’élément de sécurité le plus critique pour protéger les avoirs en Bitcoin. Lorsqu’une clé privée est exposée ou dérivée de modèles de données communs, le vol se produit généralement immédiatement, selon des experts en sécurité des cryptomonnaies.
Vulnérabilités des clés privées
De nombreux portefeuilles compromis avec des clés privées non aléatoires utilisent des phrases de départ avec des motifs prévisibles, y compris des mots répétés tels que « mot de passe », « Bitcoin » ou « abandonner », selon des chercheurs en sécurité. Tout motif non aléatoire manquant d’entropie véritable peut exposer une clé privée et permettre à des systèmes automatisés de vider les dépôts vers la clé publique correspondante.
« Cet incident démontre que le manque de randomisation peut s’étendre au-delà de simples motifs de mots pour inclure des informations publiques enregistrées sur le registre Bitcoin, telles que les identifiants de transaction des récompenses de bloc. »
L’absence d’introduction d’entropie mécanique lors de la génération de clés privées peut permettre des attaques par force brute et compromettre la sécurité des fonds, selon des experts en cryptographie. Hacher une clé privée via un identifiant de transaction ne fournit pas une entropie suffisante pour un stockage sécurisé des clés privées, comme l’illustre cet incident.
Les mineurs et d’autres observateurs du mempool peuvent surveiller les identifiants de transaction pour détecter des non-randomités et tenter de diffuser des transactions de vol en utilisant des clés privées exposées, selon des analystes de la sécurité blockchain.
