Hack : L’équivalent de 84,5 BTC de Verge (XVG) dérobés, le développeur principal accuse le wallet CoinPouch

L’é­qui­valent de 84,5 BTC de coins Verge (XVG), une cryp­to-mon­naie ano­nyme, auraient été déro­bés à des uti­li­sa­teurs du wal­let Coin­Pouch. Jus­tin, le déve­lop­peur prin­ci­pal de Verge, estime que Coin­Pouch serait à l’o­ri­gine de cette faille de sécurité.

Le 21 novembre, un hacker serait par­ve­nu à pira­ter le ser­vice de wal­let Coin­Pouch, et aurait ain­si déro­bé plus de 126 mil­lion de coins Verge (XVG). Il s’a­git d” une cryp­to-mon­naie ano­nyme, qui por­tait jus­qu’en 2016 le nom de Doge­Coin­Dark.

D’a­près Coin­Pouch, les coins Verge volés auraient été dépla­cés vers cette adresse :  DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N – ils n’ont pas bou­gé depuis.

Coin­Pouch a alors publié un com­mu­ni­qué afin d’in­for­mer les uti­li­sa­teurs de cette faille  – un com­mu­ni­qué qui sem­blait évo­quer de manière impli­cite une res­pon­sa­bi­li­té du déve­lop­peur prin­ci­pal de Verge, Jus­tin (aus­si appe­lé Sune­rok), qui aurait don­né son feu vert concer­nant la sécu­ri­té de leur nœud Verge :

« […] pour des rai­sons de sécu­ri­té, nous avons contac­té le déve­lop­peur prin­ci­pal de Verge, Jus­tin, afin qu’il mette en place un nœud Verge spé­ci­fique pour Coin­pouch […] Jus­tin a accep­té […] le 9 Novembre 2017, un uti­li­sa­teur nous a contac­té au sujet de tokens Verge qui avaient dis­pa­ru […] nous avons alors immé­dia­te­ment contac­té Jus­tin, et il nous a indi­qué les étapes à suivre pour nous assu­rer de l’in­té­gri­té de ce nœud spé­ci­fique Verge. D’a­près les résul­tats des pro­cé­dures que Jus­tin nous a deman­dé d’ef­fec­tué sur ce nœud spé­ci­fique, celui-ci a conclu qu’il ne s’a­gis­sait pas d’un hack […] »

Ils ont ensuite décla­ré qu’ils avaient deman­dé une ana­lyse pous­sée du ser­veur qui héber­geait ce nœud Verge, et ils ont trans­mis l’af­faire au auto­ri­tés locales.

Le site Cryp­to­vest a contac­té Jus­tin. Celui-ci a accu­sé Coin­Pouch – et plus par­ti­cu­liè­re­ment Kirk Bal­louh – qui seraient res­pon­sables de cette faille de sécu­ri­té. D’a­près lui, il sem­ble­rait d’ailleurs que Coin­Pouch ne pos­sé­de­rait pas d’é­quipe tech­nique dédiée :

« J’es­time que Coin­Pouch est res­pon­sable de ce hack. J’ai juste com­pi­lé le code source de Verge, c’est tout. Ils ont mis en place une API et ont connec­té l’ap­pli­ca­tion. Ce qui est arri­vé, je pense, est qu’ils n’ont pas du tout sécu­ri­sé l’API. »

Coin­Pouch m’a appe­lé hier matin. Le res­pon­sable ne sem­blait pas connaître quoi que ce soit de la pro­gram­ma­tion. Ce qui m’a sem­blé étrange, c’est que, quand ils m’ont appe­lé, ils ont com­men­cé à évo­quer des pro­blèmes de rela­tions publiques et les solu­tions qui pour­raient “nous” per­mettre de ne pas être mal vus. Mais ce n’est pas mon pro­blème, dans la mesure où tout ça n’a rien à voir avec Verge.

Je pense que l’A­PI qu’ils ont déve­lop­pée était connec­té au pro­gramme infor­ma­tique, mais pas de manière sécu­ri­sée. Je pense que quel­qu’un a du trou­ver l’A­PI, et a ain­si pu dépla­cer les coins, puisque celle-ci ne néces­site pas de login. »

Afin d’ap­por­ter les preuves de ce qu’il avance, Jus­tin a éga­le­ment four­ni des cap­tures d’é­cran des conver­sa­tions, qui sont dis­po­nibles ici.

Par ailleurs, d’a­près de nou­velles infor­ma­tions, l’a­dresse du wal­let four­nie par Coin­Pouch pour­rait ne pas appar­te­nir par au(x) hacker(s).

Jus­tin a par­ta­gé un mes­sage qu’il avait reçu sur Bit­coin­talk, dans lequel un uti­li­sa­teur lui expli­quait que le wal­let en ques­tion lui appar­te­nait, et que les coins Verge qui y étaient logés n’a­vaient pas été déro­bés – mais avaient été dépla­cés de la pla­te­forme Bit­trex vers son wallet.

« Les 126138145,82999299 XVG qui se trouvent dans l’a­dresse DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N n’ont PAS été volés. C’est ma *** d’a­dresse. Main­te­nant je lis que Coin­Pouch détruit les logs de tran­sac­tions ? Il sem­ble­rait qu’il tente de faire en sorte que mon adresse fasse office de bouc émissaire.

Quoi qu’il en soit, je pré­fère gar­der mon ano­ny­mat, alors voi­là, pre­nez soin de ces ***. Pour­quoi ont-ils choi­si mon adresse ? Juste parce qu’elle conte­nait beau­coup de coins ?

Tout ce que je peux dire, c’est que je n’ai rien pira­té. Je ne sau­rais même pas com­ment faire. »

Si ses dires sont exacts, cela signi­fie­rait que le(s) hacker(s) auraient déjà ven­du sur Bit­trex les coins Verge volés , que ceux-ci auraient ensuite été ache­tés par la per­sonne qui se trouve désor­mais accusée.

Pour le moment, les uti­li­sa­teurs concer­nés concer­nés ne peuvent pas faire grand chose si ce n’est d’at­tendre les résul­tats de l’a­na­lyse menée par Coin­pouch, qui devrait bien­tôt publier un nou­veau communiqué.

Il faut savoir que la mon­naie Verge est sou­te­nue par une com­mu­nau­té de pas­sion­nés, et peut s’ap­puyer sur une équipe de déve­lop­pe­ment active, menée par Jus­tin, aus­si connu sous le nom de Sunerok.

Au moment pré­su­mé du hack, les XVG s’é­chan­geaient pour envi­ron 70 sato­shis (0,00000070 Bit­coins), après un plus haut d’en­vi­ron 120 sato­shis le 6 novembre, soit la date à laquelle devait nor­ma­le­ment sor­tir le Waith Pro­to­col.

Néan­moins, des retards dans le lan­ce­ment, qui seraient liés à un manque de com­mu­ni­ca­tion entre les équipes de déve­lop­pe­ment et les équipes mar­ke­ting, semble avoir pro­vo­qué une chute du prix de la monnaie.

Celui-ci s’é­lève désor­mais à 68 sato­shis, soit une capi­ta­li­sa­tion d’en­vi­ron 79,5 mil­lions de dol­lars.

Réfé­rence : Cryp­to­vest