Hack : 20 millions $ envolés à cause d’une faille publiée 3 mois auparavant
Il ne se passe pas une semaine sans que le monde crypto reçoive la nouvelle d’une escroquerie ou d’un hack. Et, cette semaine ne déroge pas à la règle. En effet, selon l’entreprise de sécurité chinoise Qihoo 360 Netlab 20 millions de dollars ont été dérobés en ether au cours des derniers mois. La faille proviendrait de matériel de minage mal configuré ainsi que d’applications tierces comme des wallets.
Une faille connue depuis trois mois
360 Netlab, avait déjà alerté écosystème crypto d’une faille dans des noeuds Ethereum non sécurisés. L’entreprise twittait le 15 mars 2018 que des ports 8545 non sécurisés permettraient le vol d’ETH. Au moment du tweet, ils estimaient que seulement 4 ETH avaient été dérobés.
Someone tries to make quick money by scanning port 8545, looking for geth clients and stealing their cryptocurrency, good thing geth by default only listens on local 8545 port. So far it has only got 3.96234 Ether on its account, but hey it is free money! pic.twitter.com/YVSWlMtYGa
— 360 Netlab (@360Netlab) March 15, 2018
En dépit de ces avertissements, aucune mesure n’a été prise pour pallier ces failles.
Le résultat ? Au 11 juin 2018, 360 Netlab affirme que plus de 38 000 ETH ont été dérobés en utilisant la faille du port 8545.
Remember this old twitter we posted? Guess how much these guys have in their wallets? Check out this wallet address https://t.co/t4qB17r97J $20,526,348.76, yes, you read it right, more then 20 Million US dollars https://t.co/SXHrdTcb6e
— 360 Netlab (@360Netlab) June 11, 2018
Tous ces fonds auraient été envoyés à la même adresse : 0x957cD4Ff9b3894FC78b5134A8DC72b032fFbC464.
Si vous recherchez cette adresse sur Internet, vous trouverez plusieurs dizaines de billets et de posts sur divers forums ayant posté des transactions suspectes provenant de leur compte vers cette adresse. Si vous possédez des ETH, je vous suggère de vérifier qu’aucune transaction n’a été faite cette adresse depuis l’un de vos comptes.
Remote Procedure Call & port 8545
Selon le rapport, publié par l’entreprise ces braquages digitaux ont été réalisés par de multiples entités. Ce hack, exploite l’interface RPC – Remote Procedure Call – fonctionnant sur le port 8545.
L’interface RPC permet à des tiers autorisés d’interagir et de récupérer des données provenant du système Ethereum. Ces tiers autorisés sont principalement les applications de minage et les wallets. Le RPC est désactivé par défaut et il n’est recommandé de l’activer que si l’utilisateur bénéficie d’une protection avancée – firewall, système d’authentification des demandes, liste de contrôle des tiers autorisés.
Toutefois, certains développeurs semblent avoir activé cette fonction par défaut. Faisant de leur utilisateur des proies de choix. Dès lors, toute personne en mesure de récupérer des données peut avoir accès aux clés privées ainsi qu’aux informations personnelles du propriétaire.Ainsi, le hackeur sera en capacité de déplacer les fonds associé à ces clés. Aucune information ne semble être disponible sur les applications compromises.
Pour des initiés, ce hack est d‘une simplicité déconcertante réaliser. Comme l’a tweeté Netlab, il suffit que les personnes malveillantes fassent un scan de masse des ports 8545 pour trouver des logiciels avec une interface RPC vulnérable. Dès lors, il leur suffira de lancer un script réalisant des requêtes systématiques et répétées jusqu’à obtenir les informations nécessaires au déplacement des fonds.
Les cryptomonnaies, une aubaine pour les hackeurs
L’écosystème des devises numériques en est encore à sa genèse. Bien que, des systèmes comme Bitcoin soient parmi les infrastructures les plus sécurisées au monde, de nombreuses failles persistent ailleurs. Le monde des cryptomonnaies est un fourmillement continu d’innovation et de création. Mais, l’innovation va tellement vite que la sécurité ne suit pas toujours.
Les acteurs du monde des cryptomonnaies ne réalisent pas encore l’aubaine que ce secteur peut représenter pour les personnes les plus malveillantes d’entre nous. En effet, pour réaliser un acte de ce montant sans présence physique un cyber voleur devrait se frotter aux plus grandes entreprises ou à une banque. Il s’exposerait ainsi à des poursuites et à des conséquences qui peuvent être extrêmement lourdes comme des peines de prison à perpétuité. Toutefois, les conséquences attachées à un hack comme celui-ci sont d’une tout autre envergure. Il est probable qu’aucune poursuite ne soit engagée et que les auteurs du vol ne soient jamais attrapé.
C’est pourquoi, il est nécessaire que les crypto-business fassent de leur sécurité de celle de leurs utilisateurs une priorité. Il est presque honteux qu’une faille aussi grotesque soient encore présente alors qu’elle avait été signalée par une entreprise de cyber-sécurité.
Sources : Bitcoinist || Image from Shutterstock
Thomas G.
Financier et juriste, je suis passionné par les cryptomonnaies depuis leur apparition sur le Deepweb. Fervent supporter du Bitcoin, je suis convaincu que les devises numériques joueront un rôle déterminant dans l'avenir de nos sociétés. Je m'intéresse tout particulièrement aux aspects financiers et législatifs des cryptomonnaies.
