Piratage de MyDashWallet : un générateur de paper wallet pour Dash

MyDashWallet est la réponse de la communauté Dash au MyEtherWallet d’Ethereum. Il permet notamment de créer et gérer facilement des paper wallets. Malheureusement, il s’avère qu’il a été compromis par des pirates informatiques, depuis au moins 2 mois.

Les clés privées captées par un hacker

Créer un paper wallet consiste à générer aléatoirement une clé privée pour un wallet d’une cryptomonnaie donnée, avec une adresse publique associée. MyDashWallet permet également d’envoyer et gérer des transactions depuis ce paper wallet.

C’est Michael Seitz, directeur du marketing de Dash, qui explique sur le forum officiel du projet que le générateur de paper wallet Mydashwallet.org a été compromis, et que les pirates ont pu obtenir les clés privées utilisées sur le site entre le 13 mai et le 12 juillet.

Conçu par un développeur indépendant, surnommé « DeltaEngine« , ce dernier n’avait pas de rapport direct avec l’équipe officielle de développement du Dash Core Group. Michael Seitz précise toutefois que, désormais, Dash Core Group « aide le développeur à résoudre ce problème et recueille les informations pertinentes à fournir aux forces de l’ordre ».

Il est fortement recommandé à toute personne ayant utilisé MyDashWallet entre le 13 mai et le 12 juillet de retirer immédiatement leurs fonds vers un wallet plus sûr.

Un morceau de code corrompu

Philipp Engelhorn, responsable de la communication de Dash, nous en apprend un peu plus sur le mode opératoire du pirate :

  • depuis avril 2018, MyDashWallet était programmé pour récupérer un morceau de code informatique sur le site GreasyFork. Les mises à jours de ce code, créé par Jixun Moe, étaient automatiquement récupérées par MyDashWallet ;
  • mais le 13 mai 2019, un pirate a compromis le compte GreasyFork de l’auteur original, et a rajouté des lignes code malveillantes pour envoyer les clés privées des utilisateurs de MyDashWallet vers un serveur externe ;
  • ce changement n’a été détecté que le 12 juillet 2019 lorsque le pirate a utilisé ces clés privées – collectées en toute discrétion – pour déplacer et voler les fonds des utilisateurs affectés.

L’équipe de Dash précise qu’à l’avenir MyDashWallet, ou tout wallet tiers utilisant le code open source officiel de Dash, devrait s’assurer que « tous les codes manipulant les clés privées soient examinés en détail » avant que des fonds d’utilisateurs ne risquent d’être compromis.

Comme d’habitude, petit rappel concernant la manière de stocker vos cryptomonnaies. Vous devriez toujours privilégier le stockage à froid sur un wallet hardware, le plus sécurisé étant le Ledger nano X.

[es_tradingview symbol= »bitfinex:dshbtc » interval= »D » height= »500″ colors= »Light »]

Rémy R.

Issu d’une formation universitaire en Sciences, je m’intéresse aux blockchains et à Bitcoin depuis 2013 et en ai même miné à l’époque. La bulle qui s'en est suivie m'en a détourné, mais je m'y suis replongé depuis 2017 et les étudie depuis avec passion.