Bitcoin Gold : une attaque double dépense fait perdre plusieurs millions de dollars à des plateformes d’échange

La semaine der­nière, un mineur mal­veillant est par­ve­nu à réa­li­ser une attaque double dépense sur le réseau Bit­coin Gold. Le BTG devient ain­si le troi­sième « alt­coin » à être vic­time d’une attaque au cours des der­niers jours.

Une attaque double dépense sur le réseau Bitcoin Gold

Edward Iskra, le direc­teur de la com­mu­ni­ca­tion de Bit­coin Gold, avait aver­ti il y a plu­sieurs jours les inter­nautes au sujet de cette attaque. Il avait expli­qué qu’un mineur mal­veillant était par­ve­nu à s’ap­puyer sur le BTG pour déro­ber des fonds à des pla­te­formes d’é­change de cryp­to-mon­naies :

« Une par­tie non iden­ti­fiée, qui a accès à de très grandes quan­ti­tés de pou­voir de hachage, tente d’u­ti­li­ser des “attaques 51%” pour réa­li­ser des “attaques double dépense”, afin de déro­ber de l’argent à des pla­te­formes d’é­change », avait-t-il alerté.

Pour rap­pel, une attaque 51% sup­pose de par­ve­nir à ras­sem­bler plus de la moi­tié de la puis­sance de cal­cul en vigueur sur un réseau blo­ck­chain. Ceci a per­mis à l’as­saillant de prendre le contrôle, de manière tem­po­raire, de la blo­ck­chain du BTG.

Mais le fait de réunir une telle puis­sance de cal­cul sup­pose des coûts extrê­me­ment éle­vés – et ce même pour un « petit » réseau comme celui du Bit­coin Gold. Cette entre­prise peut tou­te­fois être faci­le­ment moné­ti­sée lors­qu’elle est cou­plée à une attaque double dépense :

« Les coûts liés à la mise en place d’une telle attaque sont très éle­vés. Ain­si, l’at­ta­quant ne peut géné­rer des pro­fits que s’il par­vient à obte­nir quelque chose de grande valeur grâce à un faux dépôt. Une par­tie comme une pla­te­forme d’é­change peut accep­ter des dépôts éle­vés de manière auto­ma­tique, ce qui per­met à l’u­ti­li­sa­teur d’é­chan­ger rapi­de­ment ses BTGs contre d’autre coins, et de les reti­rer de manière auto­ma­tique. C’est la rai­son pour laquelle ces pla­te­formes sont ciblées », a décla­ré M. Iskra.

Après avoir pris le contrôle du réseau, le hacker a com­men­cé à dépo­ser du BTG sur des pla­te­formes d’échange de cryp­to-mon­naies, tout en envoyant ces mêmes coins vers un por­te­feuille qu’il détient. D’or­di­naire, la blo­ck­chain ne devrait pas per­mettre une telle ini­tia­tive, et n’inclurait que la pre­mière tran­sac­tion dans un bloc – mais l’at­ta­quant avait la pos­si­bi­li­té d’in­ver­ser des tran­sac­tions, car il contrô­lait le réseau.

Il a ain­si pu dépo­ser des fonds sur des pla­te­formes d’é­change avant de les échan­ger contre d’autres mon­naies, puis de reti­rer celles-ci. Il a ensuite pu annu­ler ses tran­sac­tion ini­tiales, afin de pou­voir dis­po­ser des BTGs qu’il avait envoyés vers des por­te­feuilles qu’il contrôlait.

L’équivalent de plus de 18 millions de dollars aurait été dérobé

Une adresse Bit­coin Gold impli­quée dans cette attaque a pu rece­voir plus de 388 200 BTGs depuis le 16 mai (avec majo­ri­tai­re­ment des tran­sac­tions qu’elle s’est elle-même envoyées).

Si l’on sup­pose que l’en­semble de ces trans­ferts sont asso­ciés à l’at­taque double dépense évo­quée, le pirate pour­rait avoir déro­bé plus de 17 mil­lions de dol­lars auprès de pla­te­formes d’é­change.

Même si la der­nière tran­sac­tion réa­li­sée par cette adresse date du 19 mai, le pirate pour­rait théo­ri­que­ment pour­suivre cette attaque s’il par­ve­nait à réunir à nou­veau suf­fi­sam­ment de pou­voir de hachage pour reprendre le contrôle de la blo­ck­chain du Bit­coin Gold.

Edward Iskra a tou­te­fois indi­qué qu’il « n’exis­tait pas de risque pour les uti­li­sa­teurs moyens, ou pour les fonds déte­nus dans un por­te­feuille » :

« Les seules par­ties qui courent des risques sont celles qui acceptent des sommes éle­vés de la part de l’at­ta­quant. Les pla­te­formes d’é­change sont en pre­mière ligne », a ‑t-il précisé.

C’est la rai­son pour laquelle les déve­lop­peurs du BTG ont appe­lé celles-ci à « aug­men­ter le nombre de confir­ma­tions requises, et à ana­ly­ser de près les dépôts de mon­tants impor­tants ». Les don­nées de la blo­ck­chain indiquent que l’as­saillant est par­ve­nu à annu­ler des tran­sac­tions jus­qu’aux 22 blocs pré­cé­dents, ce qui a conduit Edward Iskra et ses col­lègues à leur deman­der d’exi­ger désor­mais au moins 50 confirmations.

BTG : près de ‑20% sur une semaine

Lors de la rédac­tion de cet article, le Bit­coin Gold affi­chait une baisse de 6,75% face au dol­lar et de 1,06% face au Bit­coin. Il s’é­chan­geait à un peu plus de 45 dollars :

L’ac­tif avait per­du près de 20% de sa valeur face au dol­lar en une semaine, pas­sant de 56,39 à 45,24 dollars :

Bit­coin Gold est deve­nu en seule­ment quelques jours le troi­sième réseau blo­ck­chain à suc­com­ber à une attaque majeure.

Un autre mineur mal­veillant est récem­ment par­ve­nu à mani­pu­ler deux des cinq algo­rithmes de hachage sur les­quels s’ap­puie le Verge, ce qui lui a per­mis de miner 35 mil­lions de XVGs sup­plé­men­taires – d’une valeur approxi­ma­tive de 1,5 mil­lion de dol­lars – en seule­ment quelques heures. Quelques jours aupa­ra­vant, c’é­tait la cryp­to-mon­naie japo­naise Mona­coin qui était la cible d’une attaque, alors qu’un mineur était par­ve­nu à s’ac­ca­pa­rer 57% du taux de hachage en vigueur sur son réseau.

• À lire éga­le­ment : « Bit­coin Gold : tout ce qui brille n’est pas d’or »

Réfé­rences : CCN, Forum.BitcoinGold