Verge (XVG) : piratage de 126 millions de tokens stockés sur CoinPouch

Nouvelle journée dans le monde des cryptomonnaies et nouveau piratage. Après Tether, c’est au tour du projet Verge – une cryptomonnaie anonyme – qui voit l’équivalent de 84.5 bitcoins d’XVG disparaitre. Ils ont directement été volés aux utilisateurs via l’exploitation d’une faille sur le service de wallet CoinPouch. Justin, le développeur de Verge accuse CoinPouch qui se défend.

CoinPouch se défend

L’attaque s’est déroulée le 21 novembre. 126 000 000 de tokens XVG stockés sur CoinPouch sont déplacés pendant 2h30 vers le wallet DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N.

« Votre compte est créditeur de 126 000 000 XVG »

Justin le développeur de Verge (XVG) – alias Sunerok – a mis en cause la sécurité de CoinPouch, qui se défend. L’intégralité des procédures pour sécuriser le nœuds Verge auraient été réalisés avec Justin :

« Pour des raisons de sécurité, nous avons contacté Justin, développeur principal de Verge, pour mettre en place un nœud spécifique Verge pour Coinpouch […] Justin a accepté […] le 9 novembre 2017, un utilisateur nous a contacté au sujet de tokens Verge manquants […] nous avons immédiatement contacté Justin, et il nous a expliqué quelques procédures pour vérifier l’intégrité du nœud Verge. D’après les résultats des procédures que Justin nous a demandé d’exécuter sur le nœud de Verge, Justin a conclu que cela ne ressemblait pas à un hack »

CoinPouch et Justin auraient ensuite fait le point sur la situation en demandant une analyse approfondie du serveur qui hébergeait le nœud Verge. Ils ont également signalé le problème aux autorités locales.

Justin enfonce le clou

Cryptovest a directement pris contact avec Justin, et selon lui, c’est CoinPouch qui est en faute. Le service de wallet n’aurait pas les ressources techniques suffisantes pour assumer ce genre de service :

« J’estime que CoinPouch est responsable du piratage. J’ai simplement compilé le code source de Verge, et c’est tout. Ils ont installé l’API et connecté l’application. Je pense que ce qui s’est passé, c’est qu’ils n’ont pas du tout sécurisé l’API.

CoinPouch m’a appelé hier matin. Le responsable – Kirk Ballouh – ne semblait même pas savoir programmer. Ce qui m’a paru étrange, c’est que lorsqu’ils ont téléphoné, ils ont commencé à parler de « relations publiques » et des façons qui « nous » permettraient de ne pas être mal vu. Sauf que ce n’est pas mon problème, puisque Verge n’a rien à voir avec ce piratage.

Je pense que l’API qu’ils ont construit était connecté à leur service, mais qu’ils ne l’ont pas protégé. Je pense que quelqu’un a trouvé l’API et déplacé tous les tokens, puisque celle-ci n’a même pas besoin d’un login. »

Pour appuyer ses affirmations, Justin a fourni des captures d’écran des conversations qui peuvent être trouvées à cette adresse.

Extrait de l’échange

Sur les traces du pirate

Grâce à la blockchain de Verge, les tokens ont pu être retracés et l’adresse fournie par CoinPouch pourrait ne pas appartenir au pirate. Justin, le développeur de Verge a partagé un message qu’il a reçu sur Bitcointalk, où un utilisateur a affirmé qu’il avait reçu les tokens du piratage.

« Les 126138145.82999299 $XVG dans l’adresse DM5Esw71BnTdJzX1FWpNLvNvdnrLuCS91v4N n’ont PAS été volé. C’est ma p**** d’adresse Bittrex. Maintenant je lis que CoinPouch supprime les historiques de transactions ? On dirait qu’ils sont en train de camoufler quelque-chose autour des autres adresses et essaient d’utiliser la mienne comme bouc émissaire.

Quoi qu’il en soit, je préfère conserver mon anonymat, alors s’il vous plaît, prenez cette donnée en compte. Pourquoi ont-ils choisi mon adresse de toute façon ? Juste parce que j’ai plein d’XVG ?

Bref, c’est tout ce que je peux faire pour vous aider. Tout ce que je peux dire, c’est que je n’ai rien piraté. Je ne saurais même pas comment faire. »

À l’heure actuelle, il ne semble pas y avoir d’autre choix pour les utilisateurs touchés que d’attendre que CoinPouch effectue un audit interne et fasse une mise à jour. La monnaie verge n’est pas aussi populaire que les autre cryptomonnaies anonymes, mais elle a une communauté très active et passionnée. Au moment présumé du piratage, XVG s’échangeait pour environ 70 Satoshis. Actuellement, Verge se négocie à environ 65 Satoshi, avec une capitalisation boursière totale d’un peu plus de 78 millions de dollars. Le piratage ne semble pas avoir eu d’effet majeur sur le prix… pour l’instant.

XVG/BTC Bittrex D1

Sources : Cryptovest

Lucas E.

Cofondateur & ex-Directeur de publication du média que vous lisez en ce moment même, je refais surface de temps en temps, pour écrire des billets d'analyse financière sur le marché des cryptomonnaies.