Des chercheurs trouvent des bugs menaçant la sécurité des échanges cryptos

| 3 min read

Des experts en sécurité ont déclaré avoir dévoilé un certain nombre de vulnérabilités dans les bibliothèques open-source utilisées par de nombreux échanges cryptos et institutions financières qui pourraient être exploitées par des pirates informatiques cherchant un moyen d’accéder aux portefeuilles des utilisateurs.

Source: Adobe/Alexander

Lors d’une récente conférence Black Hat sur la cybersécurité, ces experts ont déclaré que certains des problèmes qui affectaient les échanges ont maintenant été corrigés, mais ont affirmé que d’autres constituaient toujours une menace.

Lire aussi: Les exchanges: n’y laissez pas vos cryptos!

Jean-Philippe Aumasson, co-fondateur de la société crypto Taurus Group et vice-président de Kudelski Security, a pris note des vulnérabilités, qui ont été découvertes par Omer Shlomovits, co-fondateur du fabricant de portefeuilles mobiles ZenGo, en trois catégories d’attaques, a rapporté Wired.

Le premier type d’attaque exige que les pirates aient recours à une personne “initiée” au sein d’un des échanges pour exploiter une vulnérabilité dans une bibliothèque open-source. Cela concerne un échange de premier plan que les chercheurs ont choisi de ne pas nommer.

En utilisant une faille dans le mécanisme de rafraîchissement des clés de la bibliothèque, les pirates pourraient changer des composants clés tout en laissant les autres composants intacts. Les attaquants pourraient ainsi empêcher l’échange d’accéder aux cryptomonnaies présentes sur sa propre plateforme.

Les chercheurs ont informé le développeur de la bibliothèque de l’existence du bogue une semaine après que le code eut été mis en ligne. Mais, comme il a été trouvé dans une bibliothèque open-source, il est possible que d’autres échanges l’utilisent encore dans leurs opérations.

Le deuxième scénario implique que les pirates informatiques exploitent une faille dans le processus de rotation des clés. Ici, un échec dans la validation de toutes les déclarations que les utilisateurs et les échanges se font les uns aux autres pourrait permettre à un échange malhonnête d’extraire les clés privées de ses utilisateurs par le biais de multiples rafraîchissements de clés, prenant ainsi le contrôle des ressources cryptos.

Là encore, le bug a été trouvé dans une bibliothèque open-source développée par une grande société de gestion dont le nom n’a pas été divulgué par les chercheurs.

La troisième catégorie d’attaques pourrait se produire lorsque des parties de confiance “dérivent à l’origine” leurs segments d’une clé, générant des nombres aléatoires qui sont ensuite vérifiés et testés publiquement pour une utilisation ultérieure.

Les chercheurs ont découvert que, dans le cadre de ce processus, un protocole d’une bibliothèque open-source développé par l’échange crypto Binance ne parvenait pas à vérifier ces nombres aléatoires.

Ce problème pourrait permettre à une partie malhonnête dans la procédure de génération de la clé de tirer profit de l’échec de l’extraction des segments de la clé des autres parties.

Binance a corrigé le bogue en mars, lorsqu’il a demandé à ses utilisateurs de passer à une nouvelle version de la bibliothèque “tss-lib”.
_________________________________

Suivez nos liens d’affiliés:

Pour acheter des cryptomonnaies; Zone SEPA Europe et citoyens français:

Pour acheter des cryptomonnaies au Canada:

Pour acheter des cryptomonnaies à travers le monde:

Pour investir dans le minage ou les masternodes:

Pour transiger vos cryptos de façon anonyme:

Pour générer des intérêts grâce à vos bitcoins:

Pour sécuriser ou stocker vos cryptomonnaies:

Pour accumuler des cryptos en jouant:

  • Au poker sur la plateforme de jeux CoinPoker
  • À un fantasy football mondial sur la plateforme Sorare

________________