Un pirate informatique restitue 225 BTC volés dans des portefeuilles blockchain

Un hacker white hat qui a réussi à récupérer 255 BTC dans des portefeuilles Blockchain suite à une faille de sécurité plus tôt cette semaine a restitué les fonds.

Le membre de Bitcoin Talk « johoe », un compte vieux de 1,5 an mais avec seulement 21 messages, a toujours déclaré qu'il ou elle prenait les fonds en sécurité et les rendrait, en écrivantsur le forum :

Il y a eu un grand nombre de nouvelles adresses corrompues aujourd'hui (plusieurs centaines en une ONE journée). J'ai pris la liberté d'économiser quelques fonds avant qu'ils ne soient volés. Si vous parvenez à me convaincre qu'ils vous appartiennent (signer un message avec l'adresse ne suffit évidemment pas ; la clé privée est déjà connue), je vous renverrai les fonds.

Johoe alorsa publié une page Des 1 019 adresses auraient été compromises et les utilisateurs ont été invités à vérifier si la leur en faisait ONE . Nicolas Cary, PDG de la blockchain, a confirmé à CoinDesk que les fonds avaient bien été reçus.

Avant même que les fonds ne soient restitués, Blockchain avait admis sa faute etpromis de remboursertous les utilisateurs qui ont perdu de l'argent.

Défaut de nombre aléatoire

Le problème à l'origine de cette vulnérabilité résidait dans des portefeuilles générés avec des « valeurs R » précédemment utilisées dans des formules générant des nombres aléatoires. Un pirate informatique pourrait ainsi utiliser l'adresse publique pour calculer ses clés privées. Si les valeurs R sont uniques, cela devrait être impossible.

Pour les férus de technologie, le directeur technique de Blockchain, Ben Reeves, a signalé l'erreur dans le code sur la page GitHub de Blockchain.ici.

Blockchain publiée dans undéclarationque le problème affectait les utilisateurs de portefeuilles Web qui avaient créé une nouvelle adresse de portefeuille ou envoyé des fonds à partir d'une adresse existante pendant la période où la vulnérabilité était active.

Selon Johoe

, Reeves a envoyé un e-mail lui demandant d'envoyer les fonds àcette adresse, ce que Johoe a dûment fait, en publiant unphoto d'un portefeuille Trezorenvoi de la transaction.

Toujours en train de résoudre le problème

Les clients de Bitcoin Talk et Reddit, tout en étant soulagés que leurs fonds aient été volés par quelqu'un de bien intentionné, contactent désormais Blockchain pour prouver leurs pertes et les récupérer.

À ce stade, il n'est toutefois pas totalement confirmé que tous les fonds retirés des portefeuilles blockchain étaient sous le contrôle de Johoe. Au moins un utilisateur a affirmé que près de 100 BTC manquants dans son portefeuille avaient disparu.

La blockchain est en train d'examiner des « milliers » de réclamations de clients et de tickets d'assistance pour en vérifier l'authenticité avant de procéder au remboursement.

Image du portefeuille Trezor viaJohoé/bitcointalk.org. Image du hacker via Shutterstock