Un hacker vole 217 millions d’euros avec des mots de passe faibles
Photo: fortton/Shutterstock
Il y a cinq ans, un analyste de sécurité a révélé une fuite choquante dans le monde de la crypto. La faiblesse des mots de passe rendait les portefeuilles Ethereum (ETH) extrêmement vulnérables aux attaques. Cela l’a mis sur la piste du « Blockchain Bandit », un pirate informatique qui a réussi à voler plus de 167 millions d’euros avec seulement 10 000 clés devinées. Aujourd’hui, après des années de silence, le Bandit est de retour.
Un hacker informatique vole des centaines de millions d’euros grâce à une sécurité insuffisante des portefeuilles de cryptomonnaies
En 2019, l’analyste en sécurité Adrian Bednarek a fait une découverte étonnante. Il effectuait des recherches sur des portefeuilles d’Ethereum pour une entreprise cliente. Il y a trouvé des centaines de clés privées si faibles qu’elles se sont révélées vulnérables aux attaques. Cela l’a conduit à ce que l’on appelle le « Blockchain Bandit ». Il s’agit d’un pirate informatique qui a réussi à voler 172 millions de dollars en devinant 10 000 clés privées. Cela correspond à environ 167 millions d’euros.
Sur le réseau Ethereum, les clés privées sont représentées par des nombres de 256 bits, ce qui signifie qu’elles comportent un très grand nombre de combinaisons possibles. Cela signifie qu’il y a un 1 suivi de 77 zéros de différentes clés privées possibles. En raison de la taille énorme de ce nombre, l’essai aléatoire de toutes les combinaisons possibles jusqu’à ce que la bonne soit trouvée nécessiterait une quantité astronomique de temps et de puissance de calcul. Il est donc pratiquement impossible de déchiffrer une clé privée en essayant simplement toutes les possibilités.
Cependant, certains portefeuilles utilisaient des générateurs de nombres aléatoires de très mauvaise qualité, ce qui conduisait à des mots de passe faibles tels que « password123 » ou même « 1 ». Bandit a astucieusement utilisé un nœud Ethereum personnalisé, programmé pour détecter les transactions effectuées à partir de clés privées faibles. Une fois que les fonds atterrissaient sur un portefeuille aussi faible, l’argent était immédiatement volé par un script automatisé.
Blockchain Bandit revient et frappe : attention !
L’approche de Bandit était particulièrement sophistiquée. Outre l’utilisation de clés faibles, il a également eu recours à des portefeuilles à mot de passe faible et à des nœuds Ethereum mal configurés. Il était donc presque impossible de l’arrêter. En 2016, il avait volé au total plus de 51 000 ETH et 470 bitcoins (BTC). L’augmentation du prix des cryptomonnaies a fait grimper la valeur de ce montant de plusieurs millions d’euros. Aujourd’hui, il vaut 170 millions d’euros d’ETH et 47 millions d’euros de BTC, soit 217 millions d’euros au total.
Puis il a soudainement disparu des radars. Pendant des années, ses portefeuilles personnels sont restés intacts, jusqu’à ce qu’il refasse surface récemment et fusionne ses cryptomonnaies dans un portefeuille multisig. Le retour de Blockchain Bandit a été révélé par une enquête du journaliste crypto ZachXBT. Cette enquête a mis en évidence un point important : de telles attaques sont encore possibles aujourd’hui. Les mauvais générateurs de clés et les portefeuilles fragiles sont encore largement utilisés.
Cela signifie que l’erreur humaine restera toujours un facteur de risque. La stratégie de Bandit est un avertissement pour tous ceux qui possèdent des cryptomonnaies. Pour se protéger, il est essentiel de n’utiliser que des plateformes de confiance et de stocker la plupart de ses cryptomonnaies dans des portefeuilles matériels. Ledger et Trezor en sont des exemples bien connus. Enfin, essayez d’éviter les clés privées prévisibles et ne stockez jamais (mais vraiment jamais) de clés privées en ligne. Assurez-vous que votre portefeuille ne devienne pas la prochaine victime de pirates informatiques comme le Blockchain Bandit. Pour en savoir plus sur ces conseils, consultez les actualités sur les cryptomonnaies.
