Satoshi’s Treasure : découverte des 3 premières clés du trésor à 1 million de dollars
À peine lancée, la chasse au trésor de Satoshi refait déjà parler d’elle. En partant de la découverte de la première clé, un hacker a réussi à obtenir les 2e et 3e clés sur les 400 nécessaires pour débloquer l’équivalent de 1 million de dollars en bitcoins (BTC).
Découverte du 1er indice et de sa clé
Dès le 16 avril, John Cantrell a tweeté que, non seulement il avait découvert les premiers fragments du trésor par une attaque informatique, mais il a en plus révélé sa méthode à tous !
Just wrote up an explanation of how I obtained the first three key shards in a few minutes today. @wheatpond @martybent https://t.co/0Mrvzbiu80
— John Cantrell (@JohnCantrell97) April 16, 2019
Le plus étonnant est qu’il a découvert les 2e et 3e clés alors que les indices pour celles-ci ne devaient être visibles que le lendemain (le 17 avril).
Tout est parti de la découverte du premier indice par un autre chasseur de trésor, qui était physiquement présent dans une des villes où se trouvaient le premier indice : le QR code photographié ci-dessous, entouré du mot « orbital ».
Le QR code amenait à l’adresse internet https://satoshistreasure.xyz/k1, où il fallait rentrer un mot de passe, qui s’est avéré être le mot orbital. Voici le résultat, capturé par nos soins sur le site de la chasse au trésor :
Hack de la 2e et 3e clé !
C’est là que les choses vont se compliquer un peu. D’abord par curiosité, John Cantrell a essayé de voir si les adresses internet avec k2 et k3 existaient, à la place de k1 (pour key/clé 1) à la fin de l’adresse ci-dessus. Et c’était le cas !
Problème, comme on peut le voir dans l’encart ci-contre, il fallait également des mots de passe pour débloquer les clés 2 et 3, qui ne devaient être révélées physiquement que le lendemain.
Mais John Cantrell ne s’est pas arrêté là, en regardant le code source des pages internet, il a découvert que les mots de passe y étaient intégrés, bien que chiffrés.
Il a ensuite réalisé une attaque par force brute. Plus clairement, cela veut dire qu’avec un petit programme informatique, il a pu tester automatiquement tous les mots existants dans un dictionnaire, jusqu’à ce que les mots de passe chiffrés des clés soient trouvés.
Et Bingo ! Il a découvert que les mots de passe étaient « cosmos » pour accéder à la 2e clé, et « blackhole » pour la 3e, un jour avant même qu’ils ne soient visibles.
Just found key number 2! #satoshistreasure pic.twitter.com/dIwo59CIkD
— John Cantrell (@JohnCantrell97) April 16, 2019
Encore plus étonnant ? Il semblerait que ce type de backdoor (porte dérobée) ait été volontairement implémenté par Primitive Ventures, la société derrière Satoshi’s Treasure :
« Oui, c’est pour que nous puissions tester le niveau d’intelligence folle des internautes. Plus vite [les énigmes] seront résolues, plus vite le niveau de difficulté augmentera », Dovey Wan, de Primitive Ventures
L’intégralité de la méthode de John Cantrell est disponible ici, sur son GitHub.
Le prochain indice sortira ce dimanche 21 avril, bonne chasse !