Plus de 3,3 millions d’euros ont été dérobés dans le cadre d’une escroquerie. Celle-ci visait des utilisateurs souhaitant recevoir leur part de monnaie forkée Bitcoin Gold.
Le fork Bitcoin Gold avait eu lieu le 24 octobre dernier, et avait permis par la suite aux utilisateurs de recevoir 1 Bitcoin Gold (BTG) pour chaque Bitcoin (BTC) détenu. Mais certains d’entre eux, qui ont eu recours à un site « wallet » pour récupérer ces Bitcoin Gold, semblent en avoir fait les frais.
Cette escroquerie a été initiée par les créateurs du site MyBTGWallet.com. Elle consistait à demander aux utilisateurs de fournir leurs clé privée ou leur « seed phrase » pour générer un wallet Bitcoin Gold, comme l’indique cette sauvegarde effectuée par Internet Archive.
Mais peu de temps après avoir suivi les consignes indiquées, les crypto-monnaies qui étaient stockées dans les portefeuilles des utilisateurs ont été envoyées vers d’autres adresses.
Au moins 30 000 dollars d’Ether, 72 000 dollars de Litecoin, 108 000 dollars de Bitcoin Gold et plus de 3 millions de dollars en Bitcoin auraient ainsi été saisis, d’après les dires de CoinDesk.
Au travers d’un entretien accordé à CoinDesk, les victimes ont pointé du doigt les relations entretenues par mybtgwallet.com avec les équipes à l’origine projet officiel de Bitcoin Gold – des relations qui auraient permis d’assurer le succès de cette opération.
L’une des victimes, Mikel Martin, a expliqué à CoinDesk :
« Je suis arrivé sur ce site en cliquant sur un lien présent sur le site officiel BitcoinGold.org, alors j’ai fait confiance. Hier après-midi, j’ai réalisé que les BTC et les BTG qui étaient contenus dans mon portefeuille avaient disparu. »
« De tels problèmes ne sont arrivés qu’avec Bitcoin Gold »
Avant que les vols ne deviennent flagrants, les équipes de Bitcoin Gold – qui avaient souhaité mettre en place une nouvelle version du Bitcoin, mieux décentralisée, qui puisse empêcher le recours à du matériel de minage spécifique – ont expliqué sur leur compte Twitter que le mybtgwallet.com était un site de confiance, en indiquant à deux reprises qu’il était sécurisé.
Ils avaient également, pendant une brève période, intégré le service proposé par mybgtwallet.com à leur site – il y figurait toutefois une mention appelant les utilisateurs à ne pas partager leur clé privée.
Mais si certains utilisateurs ont été escroqués, c’est aussi par ce que la personne qui se présentait comme le créateur de mybtgwallet.com semblait faire partie de l’équipe de Bitcoin Gold, comme on pouvait le voir sur le slack du projet. L’individu possédait d’ailleurs une étiquette l’identifiant comme un « développeur ».
Le site mybtgwallet.com a été créé par un internaute se présentant sous le nom de John Dass – impossible toutefois de savoir s’il s’agit du véritable nom du développeur ou d’un pseudonyme.
D’après une analyse de son code informatique, proposée par l’utilisateur Reddit Uejji le week-end dernier, le site mybtgwallet.com stockait les clés privées qui y étaient renseignées, et les transmettait ensuite à son propriétaire. Celui-ci n’avait plus qu’à les utiliser pour prendre le contrôle des portefeuilles, et envoyer les fonds qu’ils contenaient vers ses propres adresses.
Torsten Sandor, est le porte-parole d’Exodus, un portefeuille numérique, dont certains utilisateurs ont été victimes de l’escroquerie de mybtgwallet.com. Il a expliqué que, alors que le site incriminé était présenté comme étant open-source, tout son code source avait été modifié sur GitHub une fois que l’escroquerie avait été initiée.
Certaines victimes de l’escroquerie avaient utilisé le portefeuille d’Exodus, ce qui a permis à la société de découvrir comment cette fraude avait été organisée, en s’appuyant notamment sur le cas d’une victime.
« L’utilisateur a fourni sa seed phrase [ndlr : une liste de mots qui permet de récupérer l’accès à son portefeuille] et son portefeuille a été vidé, » a‑t-il expliqué à CoinDesk.
Il a ajouté :
« De tels problèmes ne sont arrivés qu’avec Bitcoin Gold. Il s’agit d’un fork très intéressant… Je pense qu’il est très regrettable que de nouveaux investisseurs, des personnes qui ne connaissent pas grand chose au sujet des crypto-monnaies, se mettent à en acheter. »
« Aucune relation formelle »
Les représentants de Bitcoin Gold ont expliqué qu’ils étaient en train de réfléchir aux solutions qui pourraient permettre de remédier à cette situation.
Ils ont rapidement lancé une enquête interne après avoir été mis au courant de l’escroquerie, comme l’a expliqué le porte-parole du projet, Edward Iskra.
Dans un communiqué, les développeurs de Bitcoin Gold ont affirmé qu’ils travaillaient « avec des experts en sécurité, afin de résoudre cette affaire », sans pour autant dévoiler l’identité de ces experts.
D’après ce que M. Iskra a expliqué à CoinDesk, John Dass aurait d’abord clamé son innocence pendant l’enquête.
« D’après les résultats de l’enquête que nous avons pu mener, le développeur “John Dass” serait, depuis le début, responsable de cette escroquerie. Il a par ailleurs rompu tout contact avec nous. » a‑t-il affirmé.
Pour M. Iskra, même si John Dass possédait sur Slack une étiquette indiquant qu’il s’agissait d’un « développeur », celui-ci ne faisait pas partie des équipes du projet Bitcoin Gold.
Il n “y avait « aucune relation formelle. Il a eu des contacts sur Slack avec nos développeurs au sujet du développement de son code open-source et de son site, » a précisé M. Iskra. « Le compte Twitter de Bitcoin Gold cherchait simplement à soutenir un membre de la communauté, qui semblait vouloir soutenir le projet – c’était leur seule intention. »
Il a par ailleurs ajouté que l’équipe de Bitcoin Gold devrait publier, dans les prochains jours, un nouveau communiqué présentant les avancées de l’enquête.