Vulnérabilité dans Libbitcoin Explorer (bx) 3.x
Une vulnérabilité connue dans la bibliothèque Libbitcoin Explorer (bx) 3.x expose plus de 120 000 portefeuilles Bitcoin (BTC) à des risques de piratage. Un défaut dans la génération de nombres aléatoires facilite la tâche des cybercriminels pour deviner les phrases de départ. Des chercheurs en sécurité proposent plusieurs étapes simples pour protéger vos fonds.
Découverte pour la première fois en novembre 2023, cette vulnérabilité dans Libbitcoin Explorer (bx) 3.x continue de rendre les portefeuilles BTC non-custodiaux vulnérables aux attaques par force brute. L’équipe du portefeuille OneKey a partagé un aperçu du vecteur de piratage potentiel le 17 octobre 2025. Il est important de noter que la vulnérabilité révélée dans l’incident Milk Sad n’affecte pas la sécurité mnémotechnique ou des clés privées des portefeuilles matériels ou logiciels OneKey.
Aperçu de la vulnérabilité
Le problème provient de Libbitcoin Explorer (bx) 3.x, qui générait des nombres aléatoires en utilisant l’algorithme Mersenne Twister-32, semé uniquement par l’heure système. Étant donné que l’espace de semence était limité à 2³² valeurs, les nombres aléatoires générés sont plus vulnérables à l’énumération par force brute. Par conséquent, les portefeuilles créés avec certaines versions de Trust Wallet et directement avec Libbitcoin Explorer (bx) 3.x peuvent être récupérés par des malfaiteurs.
En peu de temps, les attaquants peuvent dériver des clés privées : en raison de la taille réduite de l’espace de semence, un ordinateur personnel hautes performances peut énumérer toutes les semences possibles en quelques jours, permettant ainsi aux cybercriminels de prédire les clés privées générées à des moments arbitraires et de voler des actifs à grande échelle. Ainsi, cette faiblesse dans la génération de nombres aléatoires, bien qu’elle soit connue depuis deux ans, continue d’affecter le public des portefeuilles on-chain de Bitcoin (BTC).
Recommandations de sécurité
Pour éviter que les portefeuilles ne soient attaqués, les utilisateurs d’adresses Bitcoin (BTC) non-custodiales créées avec des outils vulnérables entre 2017 et 2023 devraient transférer leurs fonds vers d’autres solutions de stockage, protégées par la technologie Cryptographically Secure Pseudo-Random Number Generator (CSPRNG). De plus, il est conseillé de générer de nouvelles phrases de départ — en particulier, basées sur les règles BIP 39 — pour renforcer la sécurité des portefeuilles Bitcoin (BTC).
Enfin, il est recommandé d’auditer tous les portefeuilles papier ou matériels qui pourraient être affectés par cette vulnérabilité, connue sous le nom de Milk Sad Case. En ce qui concerne les portefeuilles logiciels, les utilisateurs doivent toujours s’assurer d’utiliser la dernière version des logiciels et des systèmes d’exploitation.
