Le monde des cryptoactifs a soudainement connu une tempête à minuit. À 2h17 du matin, le système de surveillance off-chain a soudainement explosé, déclenchant simultanément 22 alarmes. Ces alarmes montrent que des fonds de 22 adresses Bitcoin ont été transférés, totalisant 40142 BTC, d'une valeur d'environ 24,3 milliards de dollars.

Cependant, ce qui est vraiment choquant, c'est la manière dont cette opération de transfert a été effectuée. Les adresses utilisées sont toutes basées sur des scripts P2WPKH connus, mais les signatures ne proviennent pas des détenteurs d'origine, mais plutôt de nouvelles clés privées générées sous le contrôle du ministère de la Justice des États-Unis. Cette découverte a immédiatement suscité une enquête approfondie de la part des experts du secteur.

Les résultats de l'enquête sont glaçants. Ces 22 adresses attaquées ont toutes été créées entre 2020 et 2021, utilisant de vieilles versions de certaines applications de portefeuille. Ces versions utilisent une fonction aléatoire faible, dont l'entropie aléatoire n'est que de 112 bits, bien en dessous de la norme de sécurité de 128 bits. Cela signifie qu'il suffit de dépenser 32 000 dollars pour louer des ressources de cloud computing, et en seulement 4 jours, il est possible de reproduire la clé privée par méthode d'énumération par force brute. Cette méthode d'attaque est moins une intrusion de hacker qu'une forme avancée de "devinette de mot de passe".

Plus préoccupant encore, les données off-chain montrent qu'il y a 1867 adresses utilisant le même algorithme de randomisation faible, avec un solde non liquidé atteignant 78940 BTC, soit environ 4,7 milliards de dollars. Parmi ces fonds, 57% ont été transférés vers des échanges, tandis que les 43% restants dorment toujours sur l'adresse d'origine, risquant d'être « prédits » à tout moment.

Face à cette situation difficile, les experts du secteur ont proposé deux recommandations de sécurité : premièrement, déplacer les fonds vers un environnement véritablement aléatoire hors ligne avec une entropie supérieure à 256 bits, comme utiliser des dés pour générer des nombres aléatoires et effectuer une signature hors ligne ; deuxièmement, abandonner l'utilisation des phrases de récupération générées automatiquement par les portefeuilles chauds, et opter plutôt pour un portefeuille matériel associé à une phrase de passe, afin d'assurer une isolation physique et d'augmenter artificiellement l'entropie.

Dans le monde des cryptoactifs, la clé privée équivaut à un actif, et l'intensité de la randomisation est directement liée à la sécurité des fonds. De nombreux investisseurs ont déjà commencé à agir en transférant des fonds importants vers des portefeuilles froids, voire en détruisant d'anciens appareils susceptibles de présenter des risques de sécurité. Cet événement a sans aucun doute tiré la sonnette d'alarme pour toute la communauté des cryptoactifs, rappelant à tous les participants de reconsidérer et de renforcer leurs mesures de sécurité.