Des milliards de crypto-monnaies en danger en raison d'une vulnérabilité dans le wallet BitcoinJS
- 5 minute read
Une vulnérabilité majeure a été découverte dans le logiciel de portefeuille Bitcoin, mettant potentiellement en péril des milliards d'actifs.
Bref résumé :
- Une grave faille de sécurité a été découverte dans le portefeuille logiciel de BitcoinJS. Cette fuite concerne la fonction SecureRandom de la bibliothèque JSBN et est amplifiée par des faiblesses dans les implémentations Math.random des principaux navigateurs.
- Les premiers utilisateurs de Bitcoin qui ont créé un wallet entre 2011 et 2015 sont particulièrement exposés. Le rapport suggère que des millions de portefeuilles sont potentiellement vulnérables à un usage abusif. Les chercheurs estiment que les dommages potentiels causés par des acteurs malveillants pourraient se chiffrer en milliards d'euros.
- Après une enquête de 22 mois, Unciphered a informé les utilisateurs de la vulnérabilité et leur a conseillé de transférer leurs fonds vers un wallet logiciel de confiance.
Table des matières
- Le crédit de millions d'utilisateurs en danger
- Erreur reconnue grâce à un utilisateur qui n'avait plus accès à son wallet.
- La vulnérabilité peut provoquer un effet domino
Le crédit de millions d'utilisateurs en danger
Une fuite cruciale a été découverte dans le software wallet de BitcoinJS . Les utilisateurs de Bitcoin de la première heure, en particulier, doivent se méfier et il leur est conseillé de déplacer leurs actifs vers d'autres portefeuilles. La vulnérabilité affecte les utilisateurs qui ont créé un wallet entre 2011 et 2015. Selon un Étude de 22 mois réalisée par Unciphered notamment, une vulnérabilité a été découverte dans la fonction SecureRandom de la bibliothèque javascript de JSBN. Cette vulnérabilité est amplifiée par des faiblesses dans les implémentations Math.random des principaux navigateurs, indique le rapport.
Selon le rapport, des millions de portefeuilles sont potentiellement vulnérables à d'éventuels abus. Unciphered a déclaré qu'en collaboration avec d'autres parties, ils ont notifié les utilisateurs et leur ont conseillé de déplacer les fonds vers et portefeuille logiciel de confiance.
Erreur reconnue grâce à un utilisateur qui n'avait plus accès à son wallet.
La faille a été remarquée pour la première fois lorsqu'un utilisateur de Blockchain.com a perdu l'accès à son portefeuille Bitcoin. Cela a conduit à une enquête sur le portefeuille logiciel de BitcoinJS, qui a révélé des vulnérabilités. Comme des millions de portefeuilles sont concernés, les dommages potentiels causés par les acteurs malveillants devraient se chiffrer en milliards d'euros.
Selon le rapport, la faille de sécurité est due à la manière dont BitcoinJS, une implémentation JavaScript de Bitcoin, utilise la fonction SecureRandom dans la bibliothèque JSBN. Les vulnérabilités de cette fonction concernent la méthode de collecte de l'entropie et le PRNG (générateur de nombres pseudo-aléatoires), ce qui pourrait potentiellement permettre à des acteurs malveillants d'accéder aux clés privées.
La vulnérabilité peut provoquer un effet domino
Comme plusieurs services de portefeuilles ont dérivé leur code de BitcoinJS, ces portefeuilles sont également potentiellement à risque, comme Dogechain.info et Blockchain.info, de sorte que les problèmes s'étendent au-delà de Bitcoin.
Les chercheurs affirment que le développement de logiciels destinés à sécuriser les actifs financiers et les données personnelles est toujours risqué.