Wallets IOTA vidés : les pirates dérobent près de 4 millions de dollars grâce à des « seed generators » malveillants

Après avoir eu recours à un site mal­veillant qui leur offrait la pos­si­bi­li­té de géné­rer une « seed phrase » pour leur por­te­feuille IOTA, de nom­breux uti­li­sa­teurs se sont faits voler leurs actifs.

Près de 4 millions de dollars de IOTA dérobés

Il y a deux jours, plu­sieurs inter­nautes ont décla­ré que les fonds pré­sents dans leur por­te­feuilles IOTA avaient été volés.

Ces vols por­te­raient sur l’é­qui­valent de près de 4 mil­lions de dol­lars :

In the end, at least $3.94m worth of IOTA was sto­len. This was faci­li­ta­ted by a DDoS attack against all public nodes.

— Nic Car­ter (@nic__carter) 21 jan­vier 2018

La cause ? Les « seed gene­ra­tors », ces sites inter­net qui per­mettent de géné­rer de manière simple une nou­velle « seed phrase » pour un wal­let IOTA.

Comme le pré­cise le site Hel­loIO­TA, il exis­tait pour­tant des solu­tions sécu­ri­sées, telles que l’u­ti­li­sa­tion d’un « seed gene­ra­tor » IPFS, ou la créa­tion d’une clé à tra­vers un ter­mi­nal un ter­mi­nal sur Mac ou sur Linux. Tou­te­fois, ces solu­tions ne sont pas simples d’u­ti­li­sa­tion – ce qui a, semble-t-il, conduit de nom­breux uti­li­sa­teurs à se tour­ner vers de tels sites.

Lors de la rédac­tion de cet article, le site qui arri­vait en pre­mière posi­tion sur la recherche « IOTA seed gene­ra­tor » avait été fermé :

Les visi­teurs qui s’y étaient ren­dus devaient faire bou­ger leur sou­ris à tra­vers leur écran pour « géné­rer du hasard ». Le site leur four­nis­sait ensuite une seed pour leur wal­let IOTA. Il leur offrait éga­le­ment la pos­si­bi­li­té de dis­po­ser d’une ver­sion chif­frée de celle-ci.

Une période compliquée

D’a­près un article de blog publié ce week-end par Ralf Rott­mann, l’un des membres du IOTA Evan­ge­list Net­work, les pirates ont mené des attaques DDoS contre cer­tains full­nodes IOTA, empê­chant ain­si les vic­times de recou­vrer l’ac­cès à leurs fonds :

« Les pirates connais­saient les seeds. Vous les invi­tiez dans votre wal­let, en leur offrant vos clés sur un pla­teau d’argent. La com­mu­nau­té des opé­ra­teurs de full­nodes débattent des stra­té­gies à mettre en œuvre pour pou­voir, à l’a­ve­nir, pro­té­ger plus effi­ca­ce­ment les nœuds de la com­mu­nau­té contre des attaques DDoS similaires.

La com­mu­nau­té a insis­té sur le fait que cette faille n’a­vait stric­te­ment rien à voir avec la tech­no­lo­gie IOTA, et qu’elle était liée à des tiers mal­veillants. Elles a four­ni des pré­co­ni­sa­tions aux uti­li­sa­teurs qui avaient été vic­times de tels services.

Depuis plu­sieurs semaines, le réseau semble tra­ver­ser une période de fortes turbulences

On peut ain­si citer ses cla­ri­fi­ca­tions concer­nant son par­te­na­riat avec Micro­soft, ou encore la décou­verte de failles dans le code IOTA, qui ont depuis été répa­rées. En octobre der­nier, les déve­lop­peurs avaient été contraints, après êtes par­ve­nues à stop­per une attaque de pirates, de prendre tem­po­rai­re­ment le contrôle de fonds qui cour­raient des risques.

Réfé­rence : CCN, Hel­loIO­TA