Des milliers d’adresses à risque – L’écosystème des cryptomonnaies prend racine dans les valeurs de l’open source. Cependant, open source ne rime pas toujours avec sécurité. Ainsi, les utilisateurs de l’outil Profanity viennent de l’apprendre à leurs dépens, alors que des millions de dollars ont pu être dérobés.
Profanity : le générateur d’adresses dans la tourmente
Les adresses de wallet de cryptomonnaies sont générées aléatoirement en calculant le hash d’une clé publique dérivée d’une clé privée aléatoire. Cependant, dans certains cas, des utilisateurs souhaitent réduire la part d’aléatoire pour générer des adresses personnalisées. Ainsi, celles-ci ont un préfixe ou un suffixe défini. Ces adresses sont ce qu’on appelle couramment des « vanity adresses ».
Pour ce faire, ces derniers doivent générer un très grand nombre d’adresses pour espérer obtenir l’adresse souhaitée.
Profanity est un outil qui permet d’effectuer cette manœuvre pour générer des adresses ayant un certain suffixe ou préfixe. Ses hautes performances lui ont valu un grand succès.
Par exemple, l’adresse 0x000000000000000000000000000000000000dEaD est un très bon exemple d’adresse ayant été généré via cette méthode.
Un vecteur d’attaque potentiel sur Profanity ?
Le 15 septembre, les équipes du protocole 1inch ont publié un article de blog mettant en garde les utilisateurs de Profanity.
Ainsi, au début de l’année, certains contributeurs de 1inch ont contacté les équipes du protocole après avoir décelé une faille potentielle dans le processus de génération des adresses Profanity.
« Au début de 2022, certains des contributeurs de 1inch ont remarqué que Profanity utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits et ont soupçonné que cela pouvait être dangereux. »
Dans un premier temps, les contributeurs ont estimé qu’il était possible de recalculer les adresses vanity. Cependant, la manœuvre nécessitait des milliers de cartes graphiques et des mois de calculs.
Quelques mois après cette trouvaille, les adresses déployées de plusieurs protocoles, dont 1inch ou encore Synthetix ont montré plusieurs activités suspectes.
« Au moins 5 deployer de différents projets ont réclamé le même airdrop. Par la suite, les fonds réclamés ont transité sur un seul portefeuille. Cela devenait vraiment suspect. »
En effet, ce n’étaient les détenteurs de ces adresses deployer qui avaient réclamé les airdrops. Par conséquent, quelqu’un avait été en mesure d’accéder à ces adresses.
Plus de 3 millions de dollars exploités
Après investigation, les contributeurs de 1inch ont été en mesure de mettre au point une méthode permettant de régénérer les clés privées des adresses vanity.
« Il y a quelques jours, les contributeurs concernés de 1inch ont mis au point une preuve de concept leur permettant de récupérer les clés privées de n’importe quelle adresse vanity générée via l’outil Profanity. »
Face à cette découverte, le crypto-investigateur ZachXBT a identifié que cette vulnérabilité a permis de détourner plus de 3,3 millions de dollars.
« Il semble que 3,3 millions de dollars en cryptomonnaies aient été exploités par 0x6ae à partir de cette vulnérabilité. Il est intéressant de noter que l’attaquant d’Indexed Finance a été la première adresse drainée par 0x6ae. »
Des centaines d’autres adresses pourraient, elles aussi, subir par cette faille. Par conséquent, des dizaines de millions de dollars pourraient être à risque, comme expliqué dans le rapport de 1inch :
« Les contributeurs de 1inch tentent toujours de déterminer la liste des adresses vanity qui ont été piratées. Ce n’est pas une tâche simple, mais à ce stade, il semble que des dizaines, voire centaines de millions de dollars en cryptomonnaies pourraient être dérobés. Une bonne chose est que les preuves de piratage sont disponibles sur la chaîne pour toujours. »
Si vous avez un jour utilisé l’outil Profanity pour générer une adresse vanity, nous vous conseillons de mettre vos fonds à l’abri sur une autre adresse pour ne pas voir vos fonds disparaitre.
Coup dur pour l’attaquant d’Indexed Finance. Un autre hacker l’a allégé d’une partie de son butin. Celui-ci est toujours activement recherché par les forces de l’ordre. L’intrigant ayant refusé de restituer les fonds dérobés sur Indexed Finance.
Vous cherchez des tokens à fort potentiel de croissance ? Binance Launchpad met en lumière des projets crypto prometteurs en exclusivité. Pour y participer, rien de plus simple. Il suffit de vous inscrire sur Binance en suivant ce lien, vous obtiendrez 10% de remise sur vos frais de trading (lien commercial).
