Le bandit de la blockchain refait surface après 2 ans et récupère la totalité des 172 millions de dollars d'ether volés

Le bandit de la blockchain est de retour. Après deux ans de silence, le célèbre voleur de cryptomonnaies, responsable de l'un des vols Ethereum les plus sophistiqués, a transféré 51 000 ethers (soit 172 millions de dollars au cours actuel) dans un seul portefeuille.

ZachXBT, enquêteur spécialisé dans la blockchain et qui tracles activités du Bandit depuis des années, a révélé l'information dans un message. Selon lui, les fonds volés ont été transférés de dix portefeuilles différents vers une adresse à signatures multiples : « 0xC45…1D542 ».

Cette consolidation s'est effectuée par lots de 5 000 ethers chacun, le tout en l'espace de 24 minutes. Les transferts ont débuté à 20h54 UTC et se sont terminés à 21h18 UTC. À l'heure où nous écrivons ces lignes, aucun impact notable sur le cours de l'ether n'a été constaté.

Le cerveau derrière Ethercombing

Le groupe Blockchain Bandit a acquis sa réputation entre 2016 et 2018 après avoir réalisé une série de piratages impressionnants grâce à une technique appelée « Ethercombing ». La méthode ? Exploiter des clés privées faibles.

En exploitant des failles dans le processus initial de génération de clés d' Ethereum, le pirate a réussi à deviner les clés privées associées à des portefeuilles actifs. Cette méthode étaitmatic. Sur environ 49 060 transactions, il a amassé près de 45 000 ethers et découvert un total de 732 clés privées.

Tout cela était dû à une cryptographie mal sécurisée. Des problèmes comme la génération prévisible de nombres aléatoires et des pratiques de codage négligentes rendaient de nombreux portefeuilles vulnérables. Bandit automatisait le processus, analysant des milliers de clés potentielles pour identifier les maillons faibles.

Aujourd'hui encore, ces failles de sécurité initiales continuent de hanter Ethereum . Les 51 000 ethers récemment transférés proviennent de la même réserve qui était restée intacte depuis le 21 janvier 2023.

Ce jour-là, le pirate avait préalablement transféré les fonds depuis un emplacement antérieur, ainsi que 470 Bitcoin, afin de dissimuler son butin.

Des liens avec la Corée du Nord ?

Les agissements du groupe Blockchain Bandit ont suscité bien plus qu'un simple examen technique. Certains analystes en cybersécurité soupçonnent un lien avec des groupes de pirates informatiques nord-coréens. Ces groupes sont tristement célèbres pour cibler les plateformes de cryptomonnaies afin de financer des activités étatiques, notamment des programmes d'armement.

Les méthodes employées par le bandit et l'ampleur du vol ressemblent beaucoup aux tactiques utilisées par Lazarus, le groupe de hackers secrets lié à la Corée du Nord.

Un examen plus approfondi des méthodes du pirate révèle à quel point le problème vient des utilisateurs eux-mêmes. Les clés privées faibles représentaient une véritable mine d'or pour ce pirate, qui n'a pas eu besoin de s'introduire dans les plateformes d'échange ni de contourner les systèmes de sécurité les plus sophistiqués. Il a simplement profité de la négligence des développeurs et de leur manque de vigilance.

Aujourd'hui encore, nombreux sont les utilisateurs qui ne respectent pas les règles de sécurité élémentaires. Des mots de passe mal choisis, le recours aux paramètres par défaut et une méconnaissance de la gestion des clés privées contribuent tous à perpétuer les risques.

Les vulnérabilités initiales d' Ethereumn'ont rien arrangé. Les développeurs s'efforcent désormais d'améliorer leurs pratiques de codage, mais dans ce cas précis, le mal est déjà fait. Le système automatisé d'analyse de clés de Bandit a exploité ces failles à grande échelle, vidant les portefeuilles avec une efficacité stupéfiante.