Un faux bitcoin tout pété, forcément ça explose – Voler des Bitcoin Satoshi Vision, rien de plus facile !
Les BSV en self-service gratuit – Même si ce qui va suivre peut sembler ahurissant en termes d’erreur de développement, c’est bel et bien vrai. Un bug dans un script multi-signatures propre au projet Bitcoin SV (fork de Bitcoin Cash) permet à quiconque de récupérer les BSV, censés être protégés par ce type de script imposant plusieurs clés, et ce, même par ceux qui n’ont aucune des clés.
Une erreur de taille exploitée pour vider des wallets BSV
L’erreur de programmation et son exploitation ont été signalées ce 8 novembre par le co-fondateur de Blockstream, Gregory Maxwell (alias « u/nullc » sur Reddit).
La fonction « Pay to script hash 0187 » (ou « P2SH ») a été ajoutée sur le réseau Bitcoin (BTC) en avril 2012. Elle permet d’envoyer des bitcoins vers une adresse qui pouvait être multi-signatures, c’est-à-dire qui nécessite plusieurs clés/signatures de personnes différentes pour dépenser ces bitcoins.
Lors d’une mise à jour de Bitcoin SV (BSV) en février 2020, la fonction P2SH a été purement supprimée. Bien mal en a pris aux développeurs de ce projet, puisque la fonction multi-signatures (multisig) maison qu’ils ont créée en remplacement comporte une énorme erreur de programmation.
Gregory Maxwell précise ainsi que ces scripts multi-sig BSV n’ont en fait « aucune sécurité ».
Open bar pour tous !
Comme l’explique Adam Back, co-fondateur et CEO de Blockstream, sur Twitter :
« En raison [de la programmation] d’un nombre inférieur ou égal de signatures nécessaires (plutôt que d’un nombre supérieur ou égal au minimum prévu), n’importe qui peut le régler sur 0 signature valide et prendre n’importe quelle crypto au format de ce multi-signatures maison de BSV. (…). »
Gregory Maxwell indique également que la faille a été exploitée et que « des BSV ont été pris ». Il signale aussi que :
« (…) cette situation aurait pu être entièrement évitée si le projet BSV n’avait pas supprimé les mécanismes éprouvés par le temps et hautement contrôlés par les pairs (peer reviewed) de la fonction multisig de Bitcoin, au profit d’un script fait maison beaucoup moins efficace. »
Sur ces paroles pleines de raison, espérons pour la communauté BSV que les autres expérimentations de modification du code source de Bitcoin ne seront pas aussi dangereuses. En tout cas, comme le dit Gregory Maxwell : « Je ne vais pas courir le risque de le découvrir ».