Jusqu’à récemment, plus de 18 millions de dollars de fonds d’utilisateurs étaient menacés par deux échanges cryptographiques exposant par inadvertance des milliers de clés privées et de données personnelles d’utilisateurs.
Selon les recherches de Tech outlet, CyberNews, l’un des deux échanges identifiés par les analystes – une société suisse connue sous le nom de Lykke – a tenu plus de 16,5 millions de dollars dans des portefeuilles chauds dans une base de données publique.
Après avoir passé la base de données au peigne fin, les analystes ont découvert les clés API de Lykke, permettant un accès illimité aux rouages internes de l’échange. Puis, ils sont tombés sur un gros lot d’environ 80 000 clés privées mises à nu et non sécurisées. Les « clés du réseau principal » de Lykke ont également été découvertes, ce qui aurait permis d’accéder aux pièces mises en jeu par la bourse, dont la valeur s’élevait à 25 000 dollars. Cela signifie que les enquêteurs auraient pu s’enfuir avec les millions de dollars des clients, s’ils avaient été aussi enclins à le faire.
Lykke n’était pas le seul échange à avoir gravement manqué à son devoir de diligence.
Une autre bourse utilisant une base de données publique non cryptée est le marché chinois Hubdex. Cet échange dit « décentralisé » a non seulement laissé les clés API à l’écran, mais aussi les données complètes sur les utilisateurs et les KYC.
Pour couronner le tout, les analystes ont découvert plus d’un million de clés privées, offrant une fois de plus un accès débridé aux fonds des clients.
Selon le rapport, seul Lykke a répondu aux hackers blancs, confirmant que la base de données non sécurisée était la leur et modifiant rapidement l’exploit. Bien qu’ils n’aient pas pu joindre Hubdex, les analystes ont signalé que leur exploit avait été rapidement corrigé.
L’expression « pas vos clés, pas vos bitcoins » n’a jamais été aussi applicable.
Auteur/autrice
