Une faille découverte lors de la création de wallets papier sur WalletGenerator
WalletGenerator.net, créateur de wallet au format papier en ligne, utilisait auparavant du code qui permettait à des mêmes paires clé privée / clé publique d'être émises à plusieurs utilisateurs. La vulnérabilité a été décrite dans un article du blog de Harry Denley de MyCrypto, spécialiste de la sécurité, le 24 mai.
Une erreur en ligne depuis 9 mois
Selon l'article, le mauvais code était en vigueur depuis août 2018 et n'a été corrigé que depuis le 23 mai. Le code en direct sur le site Web serait censé être open source et audité sur GitHub, mais des différences ont été détectées les deux. Après avoir étudié le code en direct, Denley a conclu que les clés avaient été générées de manière déterministe sur la version en direct du site Web, et non de manière aléatoire.
Lors d’un des tests effectués par MyCrypto du 18 au 23 mai, ils ont tenté d’utiliser le générateur de masse du site Web pour créer 1 000 clés. La version de GitHub a renvoyé 1 000 clés uniques, mais le code live a lui, renvoyé 120 clés. L'exécution du générateur en bloc aurait toujours renvoyé 120 clés uniques au lieu de 1 000, même lorsque d'autres facteurs auraient été modifiés, notamment l'actualisation du navigateur ou l’utilisation d’un VPN.
Le hasard est nécessaire pour générer les paires de clés afin de sécuriser les portefeuilles en papier.
Le post indique :
« Lors de la génération d'une clé, vous prenez un nombre « super-aléatoire », vous le transformez en clé privée et vous le transformez en clé publique / adresse. Toutefois, si le nombre « super-aléatoire » est toujours « 5 », la clé privée générée sera toujours la même. C’est pourquoi il est si important que le nombre super aléatoire soit réellement aléatoire… et non «5». »
Soyez prudent quant à l'utilisation de cette plateforme
WalletGenerator a corrigé le problème après que MyCrypto leur ait tendu la main au milieu de son enquête. WalletGenerator aurait répondu par la suite en disant que les allégations ne pouvaient pas être vérifiées, et a même demandé au correspondant si MyCrypto était un « site web de phishing ».
MyCrypto a ajouté que les utilisateurs ayant généré des paires de clés après le 17 août 2018 devraient immédiatement transférer leurs fonds dans un autre portefeuille et ont recommandé de ne pas utiliser WalletGenerator.net.
Suite à cette enquête nous vous conseillons de même de ne plus utiliser le site web pour la création de wallets papier, au moins dans l'attente de plus amples investigations.
Afin de sécuriser au mieux vos actifs numériques, vous pouvez aussi consulter notre dossier complet traitant du sujet !
Cet article est traduit de Cointelegraph dans le cadre d’un partenariat entre Cryptoast et ce média international.
Fondé en 2013, Cointelegraph couvre l'actualité des technologies blockchains, des crypto-actifs et des tendances émergentes en matière de fintech.