Les pirates de Defcon piratent les pièces physiques Bitcoin Casascius

Le Pièce de monnaie Casascius La vulnérabilité aux attaques physiques a été démontrée lors de la conférence Defcon de cette année, ONEune des plus grandes conventions de hackers au monde. Les pièces Casascius sont une forme de Bitcoin physique, disponible en coupures de 0,5, 1 et 25 BTC. Chaque pièce possède une clé privée imprimée, dissimulée par un autocollant holographique. Les pirates de Defcon ont pu révéler la clé et remplacer la clé sans pratiquement aucun signe d'altération.

La clé privée de chaque cryptomonnaie Casascius est liée à l'adresse Bitcoin qui détient sa valeur. L'accès à cette cryptomonnaie implique que le solde de son adresse pourrait être modifié. Cela pourrait soit augmenter sa valeur afin de faire passer de l'argent en contrebande, soit, plus probablement, supprimer la valeur en BTC de la cryptomonnaie avant de la transmettre à quiconque l'accepte comme monnaie.

Selon leCoder pendant mon sommeilSelon le blog, l'« attaque physique » a été réalisée en injectant, à l'aide d'une aiguille hypodermique, un solvant décrit comme apolaire entre l'autocollant holographique de la pièce et la surface en laiton. Le solvant a neutralisé l'adhésif, permettant ainsi le retrait non destructif de l'autocollant.

La clé privée pouvait alors être facilement lue et l'autocollant remplacé par un nouvel adhésif. Le seul signe d'altération était une petite déformation à l'endroit où l'aiguille avait étiré l'autocollant lors de l'insertion – une marque pouvant être confondue avec une usure normale.

Vladimir Marchenko, expert en sécurité informatique, nous a confié : « Dès le début, lorsque les pièces Casascius ont été annoncées, j'étais plutôt sceptique quant à ce projet en raison de préoccupations en matière de sécurité informatique. Il était clair que si ONEon cache une clé privée dans un objet physique, il pourrait exister une méthode non destructive et rentable pour découvrir la clé ou « contrefaire » la pièce. »

De plus, contrairement aux obligations à taux variable, il n'existe pas de services Secret pour traquer les « attaquants ». Avec des mesures purement techniques, il y aura toujours un antagonisme de type bouclier et épée, mais dans ce cas, même un avantage temporaire des attaquants est inacceptable. Aujourd'hui, ce sont des produits chimiques, demain, ce pourrait être une analyse aux rayons X détectant des traces de métaux dans l'encre utilisée, ETC Il y aura inévitablement de plus en plus d'attaques réussies contre les représentations physiques de Bitcoin qui cachent la clé privée sur un support physique.

Marchenko a ensuite exposé les préoccupations générales concernant les représentations physiques des monnaies numériques : « Ce qui est encore plus inquiétant avec ce type de “bitcoins physiques”, c’est la “chaîne de contrôle” inconnue d’une clé privée avant son intégration dans la pièce. On pourrait tout aussi bien supposer que le fabricant de la pièce est un homme intègre qui n’a aucune intention de KEEP une base de données de clés privées, mais il n’y a aucune garantie. La première règle en matière de sécurité informatique est de ne pas prendre de risques inconnus. Ces pièces ont indéniablement une valeur de nouveauté importante et pourraient constituer un objet intéressant, avec une certaine valeur numismatique. Cependant, je déconseille fortement d’utiliser ces pièces physiques comme support de stockage à long terme de toute quantité non négligeable de bitcoins. »

Marchenko nous a expliqué que le Bitcoin ne devrait pas être transformé en monnaie physique, car cela priverait de nombreux avantages d'une monnaie numérique. «Le Bitcoin est conçu comme une monnaie électronique et la manière la plus sûre de l'utiliser est de l'utiliser électroniquement et de KEEP les transactions Bitcoin sur la blockchain. Les clés privées sont censées rester privées et ne jamais être divulguées à des tiers. Dès que ONEon commence à échanger des clés privées, on renonce volontairement à la plupart des avantages offerts par la cryptographie moderne comme le Bitcoin . Les pirates de Defcon ont clairement démontré ce concept en choisissant des cibles faciles, comme décoller un autocollant d'un morceau de plastique. Je serais bien plus impressionné s'ils avaient réussi à attaquer SHA256, RIPEMD ou ECDSA. »

Crédit image :Je code pendant mon sommeil