Kategorien
Pandemie techniques

Une faille dans le portefeuille Multisig de Bitcoin SV met les fonds en danger

Lorsque Bitcoin SV (BSV) a bifurqué de Bitcoin Cash, son mandat visant à créer une chaîne de blocs plus rapide et axée sur les paiements a nécessité de supprimer certaines des caractéristiques techniques clés de Bitcoin.

Ce faisant, elle a dû supprimer certaines des caractéristiques techniques clés de Bitcoin Future . Aujourd’hui, elle se trouve dans une situation pire.

L’une de ces caractéristiques, la fonction dite de hachage de paiement par script (P2SH), permet à un utilisateur d’envoyer une transaction en la signant à un „script“ plutôt qu’à une adresse à clé publique. Ces scripts créent des conditions spéciales qui doivent être remplies pour accéder aux bitcoins qui leur sont envoyés, et ils sont le plus souvent utilisés dans des transactions à plusieurs signatures – ou des transactions qui nécessitent l’approbation de plusieurs parties.

Avant l’arrivée des transactions P2SH à Bitcoin en 2012, le seul type de transaction de Bitcoin consistait à envoyer des paiements à une adresse à clé publique par le biais de la fonction de paiement à clé publique (P2PKH).

Les portefeuilles multi-signes de BSV ont été piratés

Le développeur de Bitcoin Core et ancien directeur technique de Blockstream, Gregory Maxwell, a publié sur le site r/bsv de Reddit que les développeurs du BSV ont supprimé la fonction P2SH du code de la chaîne de blocage du BSV il y a quelque temps. Dans le portefeuille d’ElectrumSV („et probablement ailleurs“, dit Maxwell dans le post), les développeurs ont remplacé la fonction par une version spécifique au BSV appelée „accumulateur multisig“ qui utilisait à la place des transactions P2PKH.

Ce n’est pas pour rien que Bitcoin utilise le P2SH pour les multi-signes et non le P2PKH, car ce dernier n’est pas idéal pour les transactions multi-signes.

C’est tellement peu sûr, en fait, que les détenteurs de BSV perdent des fonds, dit Maxwell dans le post. „Ces scripts n’étaient pas du tout sécurisés“, explique-t-il.

Selon Maxwell, les architectes du code ont seulement vérifié si les transactions multi-signes fonctionneraient avec le nombre exact de clés privées nécessaires pour envoyer la transaction (un portefeuille multi-signes nécessite plus d’une clé privée pour autoriser une transaction). Ils n’ont pas testé les transactions si plus ou moins de clés que nécessaire sont présentes.

Dans ses tests, Maxwell a constaté deux problèmes importants : premièrement, les dépenses multi-signes échouent si plus que le nombre minimum de clés signent une transaction. Deuxièmement, n’importe qui pouvait toucher les fonds multi-signes „avec trop peu de signatures (comme par exemple aucune)“.

Un utilisateur de BSV, Aaron Zhou, a perdu 600 BSV lors d’une attaque exploitant cette faiblesse sur son portefeuille multi-signes. Lorsqu’il s’est enquis de la perte d’un développeur dans un salon de discussion du BSV, Zhou a déclaré qu’il avait confiance dans le fait que „c’était assez sûr“ car „il a été introduit par CoinGeek“, un média pro-BSV financé par Calvin Ayre, un ami proche du créateur du BSV Craig Wright. En guise de réponse, un développeur du chat a réprimandé Zhou en disant qu’il n’aurait dû engager que de „petites sommes“ dans le portefeuille.

S’il n’est pas cassé, ne le réparez pas

Avec un ton de frustration à son poste, Maxwell a déclaré que „l’erreur aurait pu être évitée avec même les tests ou les examens les plus élémentaires“.

Ce fiasco nous rappelle que le développement de la cryptoconnaissance s’accompagne de compromis et nécessite de la diligence. Les fondateurs et les partisans de la BSV l’ont commercialisée comme une pièce de monnaie axée sur les paiements, avec des blocs de taille massive et des temps de transaction d’une rapidité étonnante. Pour obtenir ces propriétés, les développeurs de BSV ont choisi de dépouiller le code de Bitcoin de ses principales caractéristiques. Comme en témoigne le fiasco des multi-signes, cela peut se faire au détriment de la sécurité.

Lorsque l’argent est en jeu, on ne peut pas se déplacer rapidement et casser des choses. Souvent critiqué comme étant un processus lent et trop conservateur, le développement de Bitcoin se fait souvent en gardant à l’esprit les principes de prudence et de précision.

Sans surprise, en tant que développeur de Bitcoin Core, Maxwell privilégie cette approche méthodique plutôt que superficielle.

„Cette situation aurait été entièrement évitée si le BSV n’avait pas supprimé les mécanismes compétents, éprouvés et hautement évalués par les pairs pour le multisig par Bitcoin au profit d’une cryptographie maison beaucoup moins efficace“, a déclaré Maxwell.

„On peut se demander quels bogues étonnants se cachent dans leurs logiciels de nœuds ou leurs portefeuilles. Je peux vous dire avec certitude que je ne vais pas courir le risque de le découvrir“.

Les développeurs d’ElectrumSV n’ont pas encore répondu aux questions du CoinDesk.

Kategorien
Pandemie

Netzwerk von gefälschten Bitcoin-QR-Code-Generatoren stahl im März 45.000 $

Ein Netzwerk von bösartigen QR-Code-Generatoren hat innerhalb eines Monats mehr als 40.000 Dollar von Bitcoin (BTC)-Benutzern gestohlen.

Mindestens neun gefälschte Bitcoin-zu-QR-Code-Generatoren wurden in den letzten Wochen entdeckt, wobei der Sicherheitsforscher Harry Denley am 22. März erstmals twitterte, dass er zwei Domains identifiziert habe, die gefälschte QR-Code-Anwendungen beherbergen.

Später identifizierte Denley sieben weitere Domains, die dieselbe Schnittstelle teilen – was darauf hindeutet, dass sie alle vom selben Entwickler erstellt wurden.

Wie bekommt man die Pandemie in den Griff?

Gefälschte Bitcoin-QR-Code-Generatoren stehlen über 7 BTC

Die bösartigen Programme versprechen, die Bitcoin-Adresse eines Benutzers in einen QR-Code umzuwandeln und behaupten, das Risiko zu eliminieren, dass der Benutzer sein Geld durch Tippfehler bei der Eingabe oder Weitergabe seiner Adresse verliert – ein Service, der von jedem populären Block-Explorer und den meisten mobilen Brieftaschenanwendungen angeboten wird.

Der von den Programmen generierte QR-Code ist jedoch immer die gleiche Adresse, wodurch die Gelder der Opfer an die Entwickler des bösartigen Programms umgeleitet werden. Die angeblichen QR-Generatoren entsprechen fünf verschiedenen Brieftaschen, die mehr als sieben BTC aufgenommen haben, wahrscheinlich von den Opfern der Anwendungen.

Die bösartigen Websites sind bitcoin-barcode-generator.com, bitcoinaddresstoqrcode.com, bitcoins-qr-code.com, btc-to-qr.com, create-bitcoin-qr-code.com, free-bitcoin-qr-codes.com, freebitcoinqrcodes.com, qr-code-bitcoin.com und qrcodebtc.com.

Die ‚Bitcoin-Transaktionsbeschleuniger‘ akkumulieren 17,6 BTC

Die Websites werden von drei verschiedenen Servern gehostet, die zusammen etwa 450 andere Websites beherbergen, die skizzenhaft erscheinen – wobei die Sites mit Schlüsselwörtern zu Coronavirus, Gmail und verschiedenen Krypto-Währungen versehen sind.

Unter den Sites befinden sich mehrere angebliche „Bitcoin-Transaktionsbeschleuniger“, die behaupten, BTC-Transfers im Austausch gegen 0,001 BTC zu beschleunigen. Die mit den angeblichen „Beschleunigern“ verbundenen BTC-Adressen haben mehr als 17,6 BTC absorbiert – und damit fast 110.000 Dollar eingenommen.

Krypto-Betrügereien nutzen die Angst vor dem Coronavirus

Opportunistische Betrüger haben versucht, aus der COVID-19-Pandemie Kapital zu schlagen – in der vergangenen Woche haben die britischen Bezirksaufsichtsbehörden, das Texas State Securities Board und die US Commodity Futures Trade Commission Warnungen über die Verbreitung von Coronavirus-Krypto-Betrügereien herausgegeben.

Jüngste Betrügereien haben sich auch als die Weltgesundheitsorganisation ausgegeben, um Spenden abzuschöpfen, und haben die Form von Apps angenommen, die angeblich die Verbreitung des Coronavirus verfolgen sollen.