La méthode Dark Skippy permet d'exploiter les portefeuilles matériels Bitcoin

Des chercheurs en sécurité ont récemment révélé un nouveau type d'attaque malveillante permettant aux pirates d'accéder aux portefeuilles matériels et aux clés privées des utilisateurs après deux transactions signées. Baptisée Dark Skippy, cette attaque fonctionne lorsqu'un pirate incite un utilisateur à télécharger un firmware malveillant.

Nick Farrow, Lloyd Fournier et Robin Linus ont publié une déclaration détaillant les informations concernant Dark Skippy. Nick Farrow et Lloyd Fournier sont cofondateurs de Frostsnap, une entreprise spécialisée dans les portefeuilles matériels. Robin Linus est impliquée dans les protocoles Bitcoin BitVM et ZeroSync.

Le rapport explique comment chaque dispositif de signature insère des valeurs aléatoires appelées nonces pour chaque transaction BTC signée. Des nonces faibles peuvent permettre aux attaquants de déchiffrer les clés privées à partir des signatures grâce à une technique appelée « nonce grinding » 

Les attaques Dark Skippy reposent sur une technique similaire. Un attaquant introduit un micrologiciel malveillant dans le dispositif de signature. Ce micrologiciel génère des nonces faibles à chaque signature de transaction. 

Un attaquant peut utiliser des techniques comme l'algorithme Kangourou de Pollard pour calculer la phrase de récupération et accéder au portefeuille de la victime. Dark Skippy est plus rapide et nécessite moins de transactions signées que les anciennes techniques de génération de nonce.

Les chercheurs suggèrent des mesures d'atténuation pour Dark Skippy

Nick, Robin et Lloyd ont proposé des mesures d'atténuation pour contrer Dark Skippy. Les chercheurs ont expliqué que la plupart des dispositifs de signature disposent de protections matérielles empêchant le chargement de micrologiciels malveillants. Parmi ces mesures, on peut citer la sécurisation de l'accès physique au dispositif, l'utilisation de techniques de sécurité matérielle, l'achat de dispositifs de signature légitimes, etc.

Nick a tweeté au sujet des mesures d'atténuation protocolaires proposées et utilisées par le passé, notamment les mécanismes anti-exfil et les nonces déterministes. Dans leur rapport, les trois chercheurs ont présenté de nouvelles mesures d'atténuation compatibles avec partiellement signées Bitcoin des transactions (PSBT).

Les deux mesures proposées comprennent la signature obligatoire des adaptateurs et la preuve de travail obligatoire du nonce. Elles visent à contrer les attaques Dark Skippy telles que les nouveaux champs PSBT.

Le cofondateur de Frostsnap a insisté sur la nécessité de discussions et de mises en œuvre concernant les mesures d'atténuation à adopter face à cette nouvelle menace. Les chercheurs ont également sollicité l'avis des lecteurs et des experts du secteur sur les mesures d'atténuation proposées dans le rapport. 

Bitrace met en garde contre de nouvelles arnaques aux codes QR 

« Après avoir scanné un code QR, j'ai été volé. »

Bitrace a découvert un nouveau type d'escroquerie où le vol est effectué via un test de transfert de code QR de paiement, trompant essentiellement les utilisateurs pour qu'ils autorisent leurs portefeuilles.

Fil 🧵

— Bitractractractractractractractractrace_team) 8 août 2024

Bitrace a récemment tweeté au sujet d'une nouvelle arnaque qui incite les utilisateurs à autoriser leurs portefeuilles. Une victime de vol de portefeuille crypto a contacté l'entreprise pour obtenir de l'aide. Elle a expliqué que ses fonds avaient été entièrement volés après avoir testé un transfert de 1 USDT via un code QR. La victime a indiqué ne pas comprendre comment on avait pu la voler après avoir simplement scanné un code QR.

La société d'analyse de données a expliqué que les arnaques par code QR constituent un nouveau type d'escroquerie impliquant un test de transfert via un code QR. Les escrocs proposent d'abord une transaction classique à leurs victimes non averties. Ils offrent ensuite des taux inférieurs à ceux des autres services du marché des cryptomonnaies. 

L'entreprise a également révélé que les escrocs proposent des TRX en guise de rémunération pour une collaboration à long terme et effectuent un paiement en USDT pour gagner la confiance de leur victime. Ils demandent ensuite un petit paiement de test pour accéder à leur victime.

Bitrace a testé l'escroquerie en utilisant un portefeuille vide et le code QR fourni par la victime. L'entreprise a indiqué que le scan les avait menés vers un site web tiers exigeant un remboursement. Une fois la transaction confirmée par la victime, les escrocs volent l'autorisation du portefeuille. Les cybercriminels transfèrent ensuite tous les fonds du portefeuille de la victime.