Peut-être que les développeurs de portefeuilles de crypto-monnaie ne devraient pas avoir l'habitude d'appeler leurs produits «non piratables». Le pionnier de la cybersécurité et évangéliste des crypto-monnaies John McAfee, président exécutif du développeur de portefeuilles Bitfi, avait précédemment qualifié le produit de son entreprise de "premier appareil non piratable au monde", selon un rapport de Coin Telegraph. McAfee a même mis au défi des experts en sécurité de pirater l'appareil, offrant une prime de 100 000 $ au 24 juillet de cette année. Cependant, McAfee a peut-être pris la parole trop tôt: il semble qu'un groupe de chercheurs ait réussi à pirater le portefeuille "non piratable".
Portefeuille matériel
L'appareil de Bitfi est un portefeuille matériel, ce qui signifie qu'il s'agit d'un produit physique que les investisseurs en crypto-monnaie peuvent tenir dans la main, par opposition à un appareil de stockage numérique. Le portefeuille prend en charge "une quantité illimitée de crypto-monnaies" et utilise une phrase secrète générée par l'utilisateur plutôt qu'une graine mnémonique standard de 24 mots. De plus, Bitfi a affirmé que son portefeuille était "complètement open-source", ce qui signifie que l'utilisateur garde le contrôle de ses fonds détenus dans le portefeuille "même si le fabricant du portefeuille n'existe plus". Pour toutes ces raisons, le portefeuille Bitfi semble offrir une expérience très attrayante aux investisseurs de crypto-monnaie soucieux de la sécurité.
Violation de portefeuille
De nombreuses équipes ont tenté de pirater le portefeuille, mais aucune n'a pu contourner les dispositifs de sécurité stipulés par les conditions de la prime. Puis, le 12 août, une équipe de chercheurs a affirmé qu'elle pouvait envoyer avec succès des transactions signées avec le portefeuille, ce qui remplirait les conditions du programme de primes. Pour ce faire, ils ont dû modifier l'appareil, se connecter au serveur du portefeuille, puis l'utiliser pour transmettre des données sensibles.
Il semblerait que même un portefeuille "non piratable" puisse être piraté avec succès en l'espace de trois semaines environ.
Le chercheur en sécurité Andrew Tierney, qui fait partie de l'équipe de violation, a suggéré que "nous avons envoyé la graine et la phrase de l'appareil à un autre serveur, elles sont simplement envoyées à l'aide de netcat, rien d'extraordinaire." Tierney a ajouté que "nous avons intercepté les communications entre le portefeuille et. Cela nous a permis d'afficher des messages stupides à l'écran. L'interception n'est vraiment pas la grande partie, c'est juste pour démontrer qu'elle est connectée au tableau de bord et toujours fonctionne malgré des modifications importantes."
