Le dépôt GitHub de Bitcoin Gold a fait l’objet d’une attaque visant à injecter un fichier malveillant dans l’un des wallets officiels. Si le problème semble désormais résolu, certains utilisateurs ont été exposés à des risques la semaine dernière.
Un autre wallet BTG incriminé
Les équipes de Bitcoin Gold ont publié hier un article évoquant un nouveau problème avec un wallet Bitcoin Gold.
Alors que l’on avait déjà assisté aux tentatives émanant de MyBTGWallet, qui dérobait les clés privées de ses utilisateurs, et d’Electron Gold, qui s’appuyait sur un code informatique suspect, c’est désormais au tour du wallet officiel de poser problème.
En effet, le logiciel aurait fait parvenir des fichiers malveillants aux utilisateurs qui l’ont téléchargé la semaine dernière :
« Tous les utilisateurs ayant téléchargé le fichier correspondant au wallet Windows, entre le 21 novembre 2017, à 9h39 UTC [ndlr : 10h39 heure française] et le 25 novembre 2017, à 22h30 UTC [ndlr : 23h30 heure française] ne doivent en aucun cas l’utiliser. »
Les utilisateurs ayant installé et ouvert le wallet, dont les « empreintes » (checksums) ne correspondent pas à celles annoncées par les développeurs de Bitcoin Gold, sont ainsi invités à supprimer immédiatement ce fichier.
Par ailleurs, il leur est fortement recommandé de s’assurer que leur ordinateur ne contienne pas des malwares ou des virus. Ils sont également invités à transférer vers de nouvelles adresses l’ensemble des crypto-monnaies qui étaient stockées sur des wallets accessibles à partir de cet ordinateur.
Si Bitcoin Gold est en proie à de nombreuses attaques, c’est avant tout parce que les pirates savent qu’un fork sera à même d’encourager des détenteurs de Bitcoin à révéler leurs clés privés, au travers d’un nouveau portefeuille.
Car même si Bitcoin Gold n’a pas suscité un grand enthousiasme lors de l’annonce de sa création, il s’échangeait, lors de la rédaction de cet article, à plus de 360 dollars – de quoi susciter un intérêt de la part des utilisateurs détenant plusieurs Bitcoins dans leur portefeuille.
Vérifiez toujours les empreintes (« cheksums ») des portefeuilles logiciels que vous téléchargez
Ce incident permet de rappeler aux utilisateurs de toujours vérifier que le « checksum » fourni par les développeurs correspond bien à celui du logiciel téléchargé.
Ainsi, ceux qui avaient vérifié leur téléchargement avec le SHA-256 checksum fourni par Bitcoin Gold ont pu se rendre compte immédiatement que le fichier était litigieux. Au contraire, ceux qui l’ont téléchargé sans se méfier se sont exposés, et ont mis à risque l’ensemble de leurs Bitcoins.
Les équipes de Bitcoin Gold sont depuis parvenues à sécuriser leur page GitHub – mais le mal était malheureusement déjà fait.
Un agent inconnu est parvenu à accéder au dépôt GitHub, et a remplacé le fichier windows par un autre fichier. Avant que celui-ci ne puisse être analysé minutieusement, nous ignorons quel était son objectif. Nous savons toutefois que le fichier ne déclenche pas immédiatement des alertes sur les logiciels antivirus/antitrojans. La version Linux n’a pas été modifiée. »
Quel que soit le fork dont il s’agit, il est toujours recommandé de ne pas se précipiter sur de nouveaux wallets, et d’attendre quelques semaines avant de chercher à obtenir ses coins.
Notez que ces coins sont attribués en fonction du solde d’un portefeuille, à un instant t. Il est donc possible de commencer par transférer ses Bitcoins vers une autre adresse, afin de ne pas les exposer à des risques lors de l’utilisation d’un nouveau wallet.
Les développeurs ont par ailleurs indiqué que leur dépôt GitHub était désormais sécurisé, et qu’ils ne croyaient pas à une seconde attaque.
Lors de la rédaction de cet article, il n’y avait aucun cas de vol avéré, lié à l’utilisation du portefeuille incriminé.
Encore un problème lié à un wallet
Il s’agit, en seulement quelques jours, du deuxième problème lié à un portefeuille Bitcoin Gold.
En effet, nous vous avions indiqué que MyBTGWallet.com, un site prétendant aider les utilisateurs à obtenir leurs Bitcoin Gold, ne visait en fait qu’à leur dérober leurs Bitcoins. Le service est ainsi parvenu à soutirer plus de 3 millions de dollars d’actifs numériques.
Les victimes de ce vol se sont regroupées, et semblent déterminées à retrouver le coupable et à l’attaquer en justice. C’est un certain John Dass qui aurait proposé un service de « vérification de solde » suspect, avant de mettre en ligne un wallet contenant un code malicieux, destiné à obtenir les clés privées des utilisateurs.
Si vous détenez actuellement des crypto-monnaies, partez d’un principe simple : des milliers de personnes sont probablement en train de chercher des méthodes qui pourraient leur permettre de se les accaparer…
Références : Cryptovest, Bitsonline, Fortune, Coinmarketcap
si je puis me permettre un lien sur les utilitaires de calcul (indispensables et gratuits) :
https://www.moncoinnumerique.fr/programmes/programmes-divers/comment-verifier-lintegrite-des-fichiers-telecharges/
Bon article, sinon, merci.
Merci à vous Wem, il s’agit d’une ressource intéressante.
Bonne soirée 🙂