Un utilisateur de Reddit a perdu 1 200 dollars d’Ethereum après avoir accidentellement laissé la phrase de récupération de son portefeuille dans un dépôt GitHub, une zone de stockage de fichiers en ligne. Bien que ce soit – ou tout au moins devrait être-une situation peu commune, il s’est avéré que les pirates avaient déjà préparé des robots malveillants, puisque les fonds de l’utilisateur ont disparu en moins de deux minutes.
« Un hacker a pris mon mnémonique et a volé 1200 dollars d’ethereum dans mon portefeuille Metamask en moins de 100 secondes. Les hackers utilisaient un bot pour rechercher les phrases mnémoniques sur GitHub, et je les ai accidentellement laissées dans mon code sur une repo GitHub alors que j’envoyais à un hacker de Hack Money », a déclaré le rédacteur a écrit à aujourd’hui.
Les phrases mnémoniques (ou phrases de semence) sont des combinaisons de 12 mots placés dans un ordre spécifique, qui vous permettent de rétablir l’accès à un portefeuille crypté. Elles constituent essentiellement « la dernière ligne de défense » à côté des clés privées (le mot de passe qui vous permet de dépenser des pièces). Si quelqu’un en obtient une, il peut avoir accès à votre portefeuille et aux fonds qui y sont conservés.
En brefVous ne devez pas télécharger vos clés privées ou votre phrase d’amorce sur des dépôts publics à code source ouvert comme GitHub, ni sur aucun autre site public.
L’utilisateur a noté qu’il a encore près de 700 $ de jetons ERC-20 verrouillés dans le protocole Compound DeFi (cETH), qui est utilisé pour prêter des cryptos à d’autres personnes. Mais s’il retire l’argent, il est envoyé dans le portefeuille où le robot siphonne chaque morceau de cETH. Il ne peut pas gagner.
Dans Ethereum, vous avez besoin d’un jeton pour payer les frais de transaction (appelé « gaz ») pour transférer vos jetons. Si deux personnes essaient de transférer le même montant d’Ethereum en même temps, il est probable que celle qui aura payé les frais les plus élevés sera traitée. Mais le robot soumet automatiquement les transactions dont les frais sont plus élevés, ce qui lui permet de gagner la course à chaque fois.
« Bien qu’il reste quelques pièces et jetons, le bot siphonnera tout l’éthereum dont je dispose pour m’empêcher de déplacer mes pièces, et/ou dépassera mes tentatives en fournissant plus de gaz », a expliqué l’utilisateur.
Une impasse féline
Un cas quelque peu similaire a été signalé en septembre dernier lorsque Des pirates informatiques ont compromis un portefeuille qui contenait un certain nombre de rares CryptoKitties – des jetons Ethereum non fongibles, chacun représentant un « chat » numérique unique.
Après qu’un robot malveillant se soit connecté au portefeuille, il a également commencé à rediriger tous les ETH entrants, transformant ainsi le vol en une prise d’otages – car il n’y avait pas de moyen conventionnel de libérer les jetons en raison du manque de fonds nécessaires pour payer l’essence. Bien qu’en fin de compte, les propriétaires aient réussi à libérer leurs pauvres chatons.
Si certains pourraient attribuer ces situations exclusivement à l’absence d’intelligence personnelle en matière de cybersécurité, les utilisateurs individuels sont loin d’être les seuls à commettre de telles erreurs. Comme Décrypter rapporté le 19 mai dernier, un groupe de pirates en chapeau blanc a récemment découvert que deux échanges de crypto avaient accidentellement exposé les clés privées de milliers d’utilisateurs, qui représentent plus de 18 millions de dollars au total.
Il est temps de commencer à s’occuper de ces clés privées.
Auteur/autrice
