Sélectionner une page

Crypto Hold-Up : comment devenir un crypto-hacker ?

A mesure que l’engouement pour les crypto-monnaies s’accroît, le nombre de Blockchains grandit, les plateformes d’échanges se multiplient et plus il devient lucratif pour des hackers peu scrupuleux de profiter des dernières tendances et d’exploiter à moindre coût les dernières nées du marché crypto.

________La Blockchain, à la base de la plupart des crypto-monnaies, est considérée comme l’une des technologies les plus sécurisées pour son code crypté et son caractère décentralisé. Si vous pensez encore qu’il n’existe pas de point de défaillance depuis lequel la base de données puisse être piratée et réécrite, détrompez-vous ! La cryptosphère, loin d’être sans faille, est la cible de nombreuses attaques. Notre sujet n’est pas l’exploitation malveillante de codes mal sécurisés, mais de comprendre les paradoxes propres à la Blockchain et les hacks les plus courants visant à subtiliser vos crypto-actifs.

 

Les attaques 51%

 

________Dans notre article la « Blockchain, nouveau symbole de disruption ? », nous avions prévenu des paradoxes inhérents à la Blockchain :

« Les nœuds du réseau (appelés mineurs) qui valident les transactions sont choisis selon leur puissance de calcul et rémunérés en fonction. La distribution de la Blockchain est donc basée sur la centralisation d’une puissance informatique. »

________Un hacker peut exploiter ce paradoxe et louer suffisamment de puissance de calcul pour compromettre l’intégrité d’une Blockchain, réarranger ses transactions et disparaître avec des millions. Le coût d’une telle manœuvre est très élevé en trésorerie et en électricité pour s’attaquer à une Blockchain comme Bitcoin ou Ethereum mais il est ramené à quelques milliers d’euros pour les moins matures qui ont attiré peu de mineurs. On les appelle les attaques 51%. Un hacker peut donc s’emparer du consensus d’une Blockchain (51% de la puissance de hachage), grâce à la facilité d’accès accrue aux équipements miniers, pour dupliquer et vendre une même valeur à plusieurs personnes en même temps. Avec le consensus, il valide les blocs corrompus et authentifie ses transactions pourtant frauduleuses.

Voici une liste des coûts théoriques pour une heure d’attaque 51% perpétrée sur les principales crypto-monnaies :

attaques 51% prix

________Ce biais informatique à l’origine des attaques 51%, phénomène dit de « doubles dépenses », insolvable d’un point de vue monétaire par nos réseaux de messagerie qui ne peuvent pas empêcher quelqu’un d’envoyer la même donnée à plusieurs reprises, a contribué à la création des crypto-monnaies censées le résoudre.

 

Le maillon faible de la Blockchain

 

________Si la Blockchain fait appel à des technologies de cryptage très développées, ce n’est pas le cas des plateformes d’échanges qui relient l’écosystème des crypto-monnaies au système financier. D’après le département américain, 33% des plateformes d’échange de bitcoins ont déjà été piratées. Mt Gox, Coincheck, Youbit, CoinDash, Parity sont autant de plateformes ayant subi d’importantes attaques à l’origine de la fermeture de certaines d’entre elles et affectant énormément les crypto-marchés. Le cours BTC avait perdu 2000 euros en fin d’année 2017 après l’annonce du hack de Youbit où 17% des actifs de la plateforme avaient été subtilisés.

________Les hackers exploitent les failles système et les défauts de sécurité. On citera le plus gros hack de l’histoire des crypto-monnaies, où 500 millions de XEM (tokens) ont été dérobés en début d’année sur la plateforme Coincheck. Cette perte de 530 millions de dollars est indépendante de la sécurité qui encadre la crypto-monnaie NEM mais uniquement imputable à la plateforme d’échange. Celle-ci avait choisi de ne pas stocker la majeure partie des tokens dans des « cold wallets » (stockage hors ligne sécurisé hors de portée des pirates informatiques), ni de mettre en place le système de « smart contract » multi-signatures proposé par la Blockchain NEM. Deux protections supplémentaires qui auraient pu drastiquement minimiser la perte subie et décourager les hackers.

________La Blockchain peut décider à la majorité de faire une « Fork » qui permet d’invalider la transaction frauduleuse. Cela n’a pas été le cas pour NEM car la responsabilité incombait à la plateforme d’échange, en revanche, en 2016 pour Ethereum, il avait été décidé d’annuler le piratage TheDAO, menant à la création d’Ethereum Classic portée par des utilisateurs refusant la « Hard Fork ». « Code is Law » selon la théorie de Lessig. Les deux blockchains dissociées existent toujours : Ethereum et Ethereum Classic.

Arnaques en tout genre (ICOs, SEA…)

 

________Avec la naissance de l’épopée Blockchain, de nouvelles entreprises se créent chaque jour dans tous les secteurs du monde numérique. Dernièrement, le marché des ICOs (Initial Coin Offering), l’équivalent du crowdfunding pour les projets Blockchain, a connu un essor incroyable et ces entreprises reçoivent en quelques jours des millions provenant d’investisseurs désireux de faire partie du prochain succès dans le domaine des crypto-monnaies. Bien que la majorité ne soient pas frauduleuses, les ICOs sont un des moyens de réaliser des opérations malveillantes. Profitant de ce phénomène, les escrocs créent leurs propres ICOs en apparence légitimes. Ils rédigent ou copient un livre blanc, récupère les fonds investis puis repartent librement.

________Les plateformes d’échanges se révèlent tout aussi efficaces. Les escrocs utilisent le SEA (Search Engine Advertising) pour arriver en tête des SERPs Google pour les requêtes de sites d’échanges dédiés aux crypto-monnaies. Croyant naviguer sur un site sûr, les utilisateurs entrent leurs informations personnelles pour créer leur « wallet » et pensent acheter des crypto-monnaies.

________Certains achètent des clés de stockage spécialement conçue pour les crypto-actifs appelées « cold wallet » ou « hard drive wallet », et avant de les vendre sur eBay, Craiglist ou Amazon, ils y ajoutent des fichiers java qui lorsque vous transférez vos crypto-actifs depuis votre clé vers votre ordinateur changent l’adresse du portefeuille de destination vers celui du hacker. Conseil : achetez toujours vos clés directement depuis le fabricant quitte à patienter plus longtemps avant de les recevoir.

________D’autres plus ingénieux encore, utilisent la cupidité d’autres investisseurs en déposant leur clé privée sur les réseaux.

hold up 1

Conclusion

 

________Peu mature, l’écosystème crypto est loin d’être suffisamment sécurisé et ce plein d’incertitudes freine l’adoption des crypto-monnaies par les masses. Dernièrement, la plateforme EOS lancée au début de l’été a récompensé un développeur nommé Guido Vranken d’une somme de 120,000 $ pour avoir trouvé 12 bugs dangereux dans son code, avant de lui proposer un emploi.

crypto hold up 2

________Nous recrutons aussi les white-hats. Si comme nous, vous êtes passionné(e) par la Blockchain et les nouvelles technologies, n’hésitez plus !

 

Rejoignez-nous

 

Précédent

Suivant

Share This

Vous avez aimé ce contenu ?

Partagez-le à votre réseau

Astek Mag Footer