La Chine affirme que 127 000 Bitcoinvolés (d'une valeur d'environ 13 milliards de dollars) ont été dérobés par les États-Unis lors d'un piratage informatique de niveau étatique

La Chine vient d'accuser les États-Unis d'avoir perpétré une cyberattaque d'une valeur de près de 13 milliards de dollars.

Dimanche, le Centre national chinois de réponse aux urgences liées aux virus informatiques (CVERC) a affirmé que 127 272 Bitcoinvolés au pool de minage LuBian en 2020 se sont retrouvés sous le contrôle du gouvernement américain après une opération silencieuse de quatre ans.

Les pièces étaient détenues par Chen Zhi, directeur du groupe Prince au Cambodge, qui a tout essayé, des messages sur la blockchain aux offres de rançon, pour les récupérer, mais n'a obtenu que le silence.

L'agence chinoise a déclaré que les pièces avaient été déplacées en grande quantité, étaient restées intactes pendant des années, puis avaient été discrètement récupérées par le département américain de la Justice l'année dernière, avant que ce dernier n'inculpe Chen le 14 octobre de cette année et ne saisisse la totalité du stock.

Le rapport du CVERC affirme que toute cette chaîne d'événements indique un piratage informatique au niveau de l'État, conçu pour faire croire à une opération des forces de l'ordre.

Mais en réalité, le vrai problème a commencé avec le système de génération de clés de LuBian, car au lieu d'utiliser des nombres aléatoires 256 bits corrects, ils ont pris des raccourcis.

Selon le CVERC, les portefeuilles ont été créés à l'aide d'une graine pseudo-aléatoire de 32 bits, s'appuyant sur l'algorithme Mersenne Twister MT19937-32, qui aurait donné aux pirates seulement 4,29 milliards de combinaisons à tester par force brute au lieu des billions nécessaires pour une clé correcte.

Ce cas est quasimentdentà la faille MilkSad révélée en août 2023 et référencée CVE-2023-39910. L'équipe MilkSad a même dressé la liste des portefeuilles compromis de LuBian, correspondant aux 25 portefeuilles identifiés dans l'affaire du Département de la Justice américain. Selon le rapport du CVERC, une fois la vulnérabilité découverte, l'attaquant a réussi à pénétrer le système en moins de deux heures.

Plus de 5 000 adresses ont été générées avec le même système défaillant, et aucune ne comportait de signature multiple, de portefeuille matériel, de portefeuille HD, rien.

Les pièces volées sont restées inactives avant que les États-Unis ne les déplacent

Le pool de minage LuBian, basé principalement en Chine et en Iran, connaissait une croissance rapide en 2020. Il n'utilisait pas de plateformes d'échange mais stockait Bitcoin dans des portefeuilles non dépositaires, du type que seul vous pouvez déverrouiller avec votre clé privée.

Le 29 décembre 2020, les portefeuilles LuBian ont été victimes d'une attaque massive qui a entraîné la perte de 127 272,06953176 BTC, soit environ 3,5 milliards de dollars à l'époque. Moins de 200 BTC ont été conservés.

Tout porte à croire qu'une attaque par force brute a ciblé plus de 5 000 portefeuilles, tous générés avec un algorithme de clé privée compromis. Les cryptomonnaies ont été rapidement dérobées, puis sont restées intactes pendant quatre ans dans des portefeuilles contrôlés par l'attaquant. C'est du moins ce qu'Arkham a confirmé en identifiant les derniers portefeuilles comme étant sous contrôle gouvernemental.

Durant la période d'inactivité, Chen et son équipe ont tenté de retrouver le ou les voleurs. Début 2021, puis en juillet 2022, ils ont intégré plus de 1 500 messages dans la blockchain Bitcoin à l'aide de la fonction OP_RETURN. L'un d'eux disait : « Veuillez nous restituer nos fonds, nous vous offrirons une récompense. »

Un autre a plaidé : « Au chapeau blanc qui sauve notre actif, contactez-nous via [email protected] pour discuter du retour de l'actif et de votre récompense. »

Aucune de ces demandes n'a reçu de réponse.

Puis, entre le 22 juin et le 23 juillet 2024, le CVERC a déclaré que tous les Bitcoin volés avaient soudainement été transférés vers une nouvelle adresse qui, selon le système tracsur la chaîne d'Arkham, appartient à Uncle.

La Chine affirme que les États-Unis ont saisi le bien et dénonce une trahison

Au moment où le ministère de la Justice a pris l'initiative en début d'année, les pièces volées étaient déjà restées inutilisées pendant près de quatre ans, et moins d'un dix-millième seulement avait été déplacée.

La Chine affirme que cela ne correspond pas au comportement typique des pirates informatiques, car nous savons tous que les pirates vendent ou mélangent des cryptomonnaies, ils ne les gardent pas pendant des années.

L'acte d'accusation mentionne 127 271 BTC répartis sur 25 adresses de portefeuilles, tous tracau piratage de LuBian en décembre 2020, les fonds provenant des trois sources suivantes :

• Environ 17 800 BTC provenant du minage indépendantdent
• ~2 300 BTC provenant des salaires des pools de minage
• ~107 100 BTC provenant des plateformes d'échange et d'autres flux entrants

Mais le ministère de la Justice a affirmé que ces cryptomonnaies avaient été obtenues illégalement. Les chiffres ne correspondent pas. Quoi qu'il en soit, LuBian ne s'en est jamais remise. Plus de 90 % de ses actifs ont été anéantis.

Le système a été mis hors service. Le rapport chinois conclut par un avertissement à la communauté crypto : corrigez le code de vos portefeuilles, utilisez de véritables générateurs de nombres aléatoires, adoptez la signature multiple, le stockage hors ligne et la surveillance en temps réel sur la blockchain. Sinon, la prochaine fois, cela pourrait vous arriver.