L’équivalent de 84,5 BTC de coins Verge (XVG), une crypto-monnaie anonyme, auraient été dérobés à des utilisateurs du wallet CoinPouch. Justin, le développeur principal de Verge, estime que CoinPouch serait à l’origine de cette faille de sécurité.
Le 21 novembre, un hacker serait parvenu à pirater le service de wallet CoinPouch, et aurait ainsi dérobé plus de 126 million de coins Verge (XVG). Il s’agit d” une crypto-monnaie anonyme, qui portait jusqu’en 2016 le nom de DogeCoinDark.
D’après CoinPouch, les coins Verge volés auraient été déplacés vers cette adresse : DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N – ils n’ont pas bougé depuis.
CoinPouch a alors publié un communiqué afin d’informer les utilisateurs de cette faille – un communiqué qui semblait évoquer de manière implicite une responsabilité du développeur principal de Verge, Justin (aussi appelé Sunerok), qui aurait donné son feu vert concernant la sécurité de leur nœud Verge :
« […] pour des raisons de sécurité, nous avons contacté le développeur principal de Verge, Justin, afin qu’il mette en place un nœud Verge spécifique pour Coinpouch […] Justin a accepté […] le 9 Novembre 2017, un utilisateur nous a contacté au sujet de tokens Verge qui avaient disparu […] nous avons alors immédiatement contacté Justin, et il nous a indiqué les étapes à suivre pour nous assurer de l’intégrité de ce nœud spécifique Verge. D’après les résultats des procédures que Justin nous a demandé d’effectué sur ce nœud spécifique, celui-ci a conclu qu’il ne s’agissait pas d’un hack […] »
Ils ont ensuite déclaré qu’ils avaient demandé une analyse poussée du serveur qui hébergeait ce nœud Verge, et ils ont transmis l’affaire au autorités locales.
Le site Cryptovest a contacté Justin. Celui-ci a accusé CoinPouch – et plus particulièrement Kirk Ballouh – qui seraient responsables de cette faille de sécurité. D’après lui, il semblerait d’ailleurs que CoinPouch ne posséderait pas d’équipe technique dédiée :
« J’estime que CoinPouch est responsable de ce hack. J’ai juste compilé le code source de Verge, c’est tout. Ils ont mis en place une API et ont connecté l’application. Ce qui est arrivé, je pense, est qu’ils n’ont pas du tout sécurisé l’API. »
CoinPouch m’a appelé hier matin. Le responsable ne semblait pas connaître quoi que ce soit de la programmation. Ce qui m’a semblé étrange, c’est que, quand ils m’ont appelé, ils ont commencé à évoquer des problèmes de relations publiques et les solutions qui pourraient “nous” permettre de ne pas être mal vus. Mais ce n’est pas mon problème, dans la mesure où tout ça n’a rien à voir avec Verge.
Je pense que l’API qu’ils ont développée était connecté au programme informatique, mais pas de manière sécurisée. Je pense que quelqu’un a du trouver l’API, et a ainsi pu déplacer les coins, puisque celle-ci ne nécessite pas de login. »
Afin d’apporter les preuves de ce qu’il avance, Justin a également fourni des captures d’écran des conversations, qui sont disponibles ici.
Par ailleurs, d’après de nouvelles informations, l’adresse du wallet fournie par CoinPouch pourrait ne pas appartenir par au(x) hacker(s).
Justin a partagé un message qu’il avait reçu sur Bitcointalk, dans lequel un utilisateur lui expliquait que le wallet en question lui appartenait, et que les coins Verge qui y étaient logés n’avaient pas été dérobés – mais avaient été déplacés de la plateforme Bittrex vers son wallet.
« Les 126138145,82999299 XVG qui se trouvent dans l’adresse DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N n’ont PAS été volés. C’est ma *** d’adresse. Maintenant je lis que CoinPouch détruit les logs de transactions ? Il semblerait qu’il tente de faire en sorte que mon adresse fasse office de bouc émissaire.
Quoi qu’il en soit, je préfère garder mon anonymat, alors voilà, prenez soin de ces ***. Pourquoi ont-ils choisi mon adresse ? Juste parce qu’elle contenait beaucoup de coins ?
Tout ce que je peux dire, c’est que je n’ai rien piraté. Je ne saurais même pas comment faire. »
Si ses dires sont exacts, cela signifierait que le(s) hacker(s) auraient déjà vendu sur Bittrex les coins Verge volés , que ceux-ci auraient ensuite été achetés par la personne qui se trouve désormais accusée.
Pour le moment, les utilisateurs concernés concernés ne peuvent pas faire grand chose si ce n’est d’attendre les résultats de l’analyse menée par Coinpouch, qui devrait bientôt publier un nouveau communiqué.
Il faut savoir que la monnaie Verge est soutenue par une communauté de passionnés, et peut s’appuyer sur une équipe de développement active, menée par Justin, aussi connu sous le nom de Sunerok.
Au moment présumé du hack, les XVG s’échangeaient pour environ 70 satoshis (0,00000070 Bitcoins), après un plus haut d’environ 120 satoshis le 6 novembre, soit la date à laquelle devait normalement sortir le Waith Protocol.
Néanmoins, des retards dans le lancement, qui seraient liés à un manque de communication entre les équipes de développement et les équipes marketing, semble avoir provoqué une chute du prix de la monnaie.
Celui-ci s’élève désormais à 68 satoshis, soit une capitalisation d’environ 79,5 millions de dollars.
Référence : Cryptovest