Blockchain.info rembourse les victimes du vol de Bitcoin

Un autre bug a été découvert dans un portefeuille Bitcoin , entraînant le vol d'une cinquantaine de bitcoins. Cette fois, c'est le portefeuille web de Blockchain.info qui est en cause, et l'entreprise propose désormais des remboursements aux utilisateurs ayant perdu des bitcoins à cause de cette faille.

Le célèbre site web Blockchain propose principalement des données de marché et sert de principal explorateur de blockchain pour la monnaie Bitcoin . Cependant, les utilisateurs peuvent également créer des portefeuilles web pour envoyer et recevoir des bitcoins. Le bug réside dans le générateur de nombres aléatoires utilisé par le portefeuille web pour signer les transactions Bitcoin . Les nombres aléatoires sont générés dans les navigateurs web grâce au langage de programmation JavaScript. Il a été découvert lundi par un utilisateur de Bitcoin. signalé qu'il s'était fait voler 1,8 BTC (environ 223 $).

« Les fonds provenant d'autres adresses de ce portefeuille n'ont pas été affectés. Cela m'amène à penser que Blockchain.info ou Firefox peuvent avoir une faiblesse dans le générateur de nombres aléatoires, comme la vulnérabilité récemment découverte dans Android », a-t-il déclaré.

Ce bug fait suite à une autre faille du générateur aléatoiretrouvé dans le système d'exploitation Android Plus tôt ce mois-ci, cette faille affectait la génération des clés privées des adresses Bitcoin . La répétition de nombres aléatoires permettait aux attaquants de déterminer les clés privées des portefeuilles des utilisateurs, ce qui leur permettait ensuite de s'approprier les adresses Bitcoin associées à ces clés.

Plusieurs clients Android ont été affectés par cette faille (dont le client Blockchain.info, pour lequel un correctif a été publié). Cette dernière faille affectait le client de navigation de Blockchain.info, ses extensions Chrome et Firefox, ainsi que son application Mac OSX.

Contrairement au bug Android, cette faille affectait uniquement la signature des transactions, plutôt que la création de clés privées,confirméBen Reeves (alias Piuk) de Blockchain sur le forum Bitcointalk. Firefox était particulièrement vulnérable à un mauvais amorçage de son générateur de nombres aléatoires, a-t-il ajouté.

« Contrairement au problème Android, le générateur de nombres aléatoires (RNG) utilisé pour générer les clés privées n'a pas été affecté ; il n'est donc pas nécessaire de recréer les clés des portefeuilles », a déclaré Reeves à CoinDesk. « Tant que votre client est à jour pour les transactions futures, vous ne courez aucun risque. »

Blockchain.info a corrigé le bug. Les utilisateurs doivent s'assurer d'utiliser les versions client suivantes :

• Extension Chrome - v2.85
• Extension Firefox - v1.97
• Client Mac - v0.11

De plus, ceux qui utilisent simplement le portefeuille Web (sans plugin) doivent vider le cache de leur navigateur avant d'utiliser le site Web Blockchain.

Un autre utilisateur du forum a informé les membres du forum basés aux États-Unis qu'il existe une possibilité de recours juridique vialois fédérales contre la fraude électronique criminelle.

Interrogé sur l'identité du ou des attaquants, Reeves a confirmé que l'attaquant est un individu et que tous les fonds volés ont été envoyés à l'adresse suivante :1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj.

Il est significatif que les fonds transférés sur ce compte incluent également des fonds prélevés auprès d'utilisateurs d'Android plus tôt ce mois-ci, ce qui suggère que la même personne pourrait être derrière le vol de bitcoins en utilisant les deux bugs.

Pour ceux qui cherchent à récupérer des fonds perdus, Reeves nous a dit : « Si quelqu'un pense qu'on lui a volé des fonds, si c'est à cause de ce bug, il est très probable que les pièces aient été envoyées à l'adresse ci-dessus. En cas de doute, ils peuvent contacteraide@blockchain.infoet je vais enquêter davantage. Seuls quelques BTC ont été remboursés jusqu'à présent.

Reeves a laissé entrevoir une lueur d'espoir pour les fonds perdus : « Cela dépend des intentions [de l'attaquant], mais il est toujours possible qu'il restitue les fonds. » Mais le message principal est : ne comptez T là-dessus.

Un représentant de Blockchain.info a déclaré que Reeves avait publié les correctifs (mentionnés ci-dessus) dans les heures qui ont suivi la détection de la faille, et a ajouté : « C'est un délai d'exécution vraiment incroyable. »

Une liste des adresses affectées par les bugs du générateur de nombres aléatoires sur Blockchain et Android a été publiée.publié sur le forum Bitcoin, et a également été mis à jour avec de nouvelles découvertes. Il nous a dit : « Si quelqu'un pense que son argent a été volé à cause de cet exploit, il devrait vérifier si son adresse Bitcoin figure sur la liste. Si c'est le cas, Contact à l'adresse suivante :https://blockchain.info/support-desk. Si ce n'est T, alors vous n'avez pas été victime de cet exploit.

Avez-vous perdu des bitcoins ? Avez-vous été remboursé ? Dites-le-nous dans les commentaires.