Un pionnier du Bitcoin réclame des solutions multi-signatures après le vol de 750 BTC

Un des premiers utilisateurs de Bitcoin a appelé les consommateurs de Bitcoin à migrer vers des systèmes de stockage de Bitcoin plus sécurisés après s'être fait voler 750 BTC (environ 280 000 $ au moment de la mise sous presse) alors qu'il était en vacances.

L'entrepreneur Bitcoin LEO Treasure a confié à CoinDesk que son malheur devrait servir d'avertissement à tous. Qu'ils stockent leurs bitcoins en ligne, sur des disques durs ou dans un stockage à froid, il a exhorté les utilisateurs à adopter au plus vite des portefeuilles multi-signatures (« multi-sig ») plus sécurisés.

Bien qu'il ait peu d'espoir de récupérer un jour ses bitcoins et qu'il ne s'attende T à ce que les autorités l'aident, il suit l'exemple d'autres personnes qui ont subi des crimes liés aux bitcoins et promet 50 % du montant volé en récompense à quiconque peut l'aider à le récupérer.

Transaction mystérieuse

Treasure, un ancien étudiant en informatique et entrepreneur Bitcoin de Perth, en Australie, a déclaré à CoinDesk qu'il voyageait à Bali et ne pensait T que la connexion au Wi-Fi public pouvait être un problème de sécurité car ses bitcoins étaient stockés localement.

Après avoir lu à propos de «Bug Bash', il a vérifié ONEune de ses adresses Bitcoin sur la blockchain et a remarqué un transaction inconnue.

Après avoir synchronisé le client Bitcoin-Qt sur son MacBook, les enregistrements « envoyés » ont confirmé le pire. Une série de transactions menant à des adresses inconnues avait été effectuée depuis son portefeuille.

Ce n'était pas un petit piratage : le montant volé représentait la majorité des avoirs en Bitcoin de Treasure, ne lui laissant que de petites sommes stockées ailleurs.

Treasure a admis que conserver une telle quantité de données sur son disque dur n'était T une bonne idée, mais a avoué avoir le sentiment de « cela ne pourrait jamais m'arriver » d'un faux confort qui précède bien des catastrophes, en disant :

« Je me sens comme un idiot d'être si blasé en matière de sécurité informatique et de penser que tout ira bien [...] Je venais de donner une conférence au meetup Bitcoin de Perth expliquant comment j'allais transférer toutes mes pièces vers le multi-sig, mais je n'ai T agi assez QUICK . »

L'année du multi-signature

Le trésor a pointé vers unarticle sur Medium.com, qui a cité les commentaires de Gavin Andresen dans son discours sur l'état du Bitcoin en Amsterdam en mai dernier.

Dans cet article, Will O'Brien, PDG et cofondateur de BitGo, fournisseur de portefeuilles multi-signatures, écrit que malgré l'avis d'Andresen, plus de 99 % des bitcoins sont encore stockés dans des adresses à signature unique. Les adresses multi-signatures, écrit-il, sont « la seule solution viable pour sécuriser les bitcoins ».

Les adresses Bitcoin multi-signatures sont le résultat de Proposition d'amélioration du Bitcoin (BIP) 16, qui a été créé en 2012 et met en œuvre une Technologies appelée « pay to script hash » (P2SH).

Les adresses Bitcoin générées à l'aide de P2SH commencent par un « 3 » au lieu du « 1 » habituel et nécessitent plusieurs clés pour que leurs soldes soient dépensés.

Le modèle standard exige deux clés sur trois pour dépenser un solde : une pour l'utilisateur, une pour le fournisseur de services (bourse ou portefeuille) et une autre pour un tiers de confiance. L'utilisateur peut choisir de KEEP la troisième clé en lieu sûr.

Par conséquent, le propriétaire des pièces peut accéder au solde même si le fournisseur de services est fermé ou fait faillite (ou est dirigé par un opérateur malveillant) et, tout aussi important, un seul appareil volé ou compromis par un pirate informatique ne suffit pas à voler les pièces.

Options disponibles

BitGo a publié unlivre blancsur le thème du P2SH en 2013 etopen sourceson propre code pour construire la confiance.

Le développeur Ben Smith, qui a créé un portefeuille Bitcoin multi-signatures et un système de paiement social Ninki, a convenu que cette Technologies résoudrait de nombreux problèmes. Il a déclaré :

« Les portefeuilles multi-signatures combinés à des mots de passe forts et à une authentification à deux facteurs réduisent considérablement la surface d'attaque, faisant de ces exploits simples une chose du passé. »

Malheureusement, la sécurité est souvent quelque chose que les gens ne prennent T en compte avant d'avoir subi une attaque, et les services populaires évoluent lentement vers la mise en œuvre du multi-sig.

En outre, BitGo, Treasure citéFrozenBit(toujours en version bêta sur invitation uniquement) etAdresse vertecomme exemples de solutions de portefeuille multi-signatures. Un autre service,Portefeuille rapide, était récemment acquispar la principale bourse chinoise Huobi.

Le portefeuille de stockage localArsenal, souvent privilégié par les utilisateurs de Bitcoin plus avertis en technologie et soucieux de la sécurité, possède une forme de multi-sig appelée « Lockboxes ».

Prochaines étapes

L'implication de Treasure dans le Bitcoin comprenait l'importation de 15 distributeurs automatiques de billets Lamassu en Australie, et son père Bret est membre du conseil d'administration <a href="http://www.bitcoin.asn.au/board/">Bitcoin</a> de la Bitcoin Association of Australia et président de l'Australian Web Industry Association.

Il a été présenté dans le reportage télévisé australien suivant sur le Bitcoin:

Le voyage de Treasure à Bali a impliqué des discussions avecBitcoin Indonésiefondateur Oscar Darmawan et d'autres participants auBitIslandsprojet qui vise à faire de Bali un paradis pour les monnaies numériques.

Il avait obtenu la majorité de ses bitcoins grâce à un prêt de 20 000 dollars australiens. Selon un rapport de Pertharticle de journal, sa propre réserve était de l'ordre de 1 000 BTC .

Les pièces restantes de Treasure se trouvent dans des portefeuilles multi-signatures etCasascius pièces physiquesTreasure a déclaré qu'il prévoyait de les déplacer tous vers des alternatives multi-signatures une fois de retour chez lui et sur une machine en laquelle il a confiance :

Je ne sais T si le pirate a seulement pu accéder à distance en lecture à mon répertoire personnel (qui contenait de nombreuses sauvegardes non chiffrées) ou s'il dispose d'un rootkit personnalisé qui évite toute détection et enregistre chacune de mes frappes. J'achète un nouvel ordinateur et clone mon disque dur à des fins de preuve.

«T vérifiez jamais les portefeuilles froids tant que vous n'êtes pas absolument sûr qu'il n'y a pas de keylogger sur votre machine. »

Il a déclaré qu'il « croyait toujours au Bitcoin», malgré un sentiment initial de découragement après ce revers, et qu'il le considérait comme bien plus viable que le système bancaire actuel. Il a ajouté que son travail futur se concentrerait davantage sur le développement et la promotion de la sécurité.

Treasure parlera de son expérience à Perth's 'Bitcoin Australasie' conférence le 8 novembre.

Volimage via Shutterstock