Des chercheurs en sécurité ont récemment révélé un nouveau type d'attaque malveillante qui permet aux pirates d'accéder aux portefeuilles matériels et aux clés privées des utilisateurs après deux transactions signées. Les chercheurs ont surnommé l'attaque Dark Skippy qui fonctionne si un pirate informatique incite un utilisateur à télécharger un micrologiciel malveillant.
Nick Farrow, Lloyd Fournier et Robin Linus ont publié la divulgation détaillant les informations sur Dark Skippy. Nick Farrow et Lloyd Fournier sont co-fondateurs de la prochaine société de portefeuille matériel Frostsnap. Robin Linus est impliqué dans les protocoles Bitcoin BitVM et ZeroSync.
Le rapport explique comment chaque dispositif de signature insère des valeurs aléatoires appelées noms occasionnels pour chaque transaction BTC signée. Des noms occasionnels faibles peuvent permettre aux attaquants de déchiffrer les clés privées des signatures grâce au « broyage occasionnel ».
Les attaques Dark Skippy dépendent d’une technique similaire. Un attaquant introduit un micrologiciel malveillant dans le périphérique de signature. Le micrologiciel malveillant génère des noms occasionnels faibles chaque fois que l'appareil signe une transaction.
Un attaquant peut utiliser des techniques telles que l'algorithme Kangourou de Pollard pour calculer la phrase de départ et accéder au portefeuille d'une victime. Dark Skippy est plus rapide et nécessite moins de transactions signées par rapport aux anciennes techniques de broyage occasionnel.
Les chercheurs suggèrent des mesures d’atténuation pour Dark Skippy
Nick, Robin et Lloyd ont proposé des mesures d'atténuation pour faire face à Dark Skippy. Les chercheurs ont expliqué que la plupart des dispositifs de signature disposent de défenses de sécurité matérielles pour empêcher le chargement de micrologiciels malveillants. Certains incluent la sécurisation de l’accès physique aux appareils, l’utilisation de techniques de sécurité matérielle, l’achat de dispositifs de signature légitimes, etc.
Nick a tweeté sur les suggestions d'atténuation basées sur des protocoles utilisées dans le passé, y compris les cas occasionnels anti-exfil et déterministes. Les trois chercheurs ont présenté dans leur rapport de nouvelles mesures d’atténuation qui pourraient coexister avec de transactions Bitcoin partiellement signées (PSBT).
Les deux mesures suggérées incluent les signatures obligatoires de l’adaptateur et une preuve de travail obligatoire. Les mesures visent à perturber les attaques Dark Skippy comme les nouveaux champs PSBT.
Le co-fondateur de Frostsnap a toujours insisté sur les discussions et la mise en œuvre d'atténuation pour faire face à la nouvelle menace. Les chercheurs ont également demandé aux lecteurs et aux experts de l’industrie de donner leur avis sur les mesures d’atténuation proposées dans le rapport.
Bi trac e met en garde contre de nouvelles arnaques au code QR
« Après avoir scanné un code QR, j'ai été volé. »
Bi trac a découvert un nouveau type d'arnaque dans lequel le vol est effectué via un test de transfert de code QR de paiement, trompant essentiellement les utilisateurs en leur faisant autoriser les portefeuilles.
Sujet 🧵
– Bi trac e (@Bi trac e_team) 8 août 2024
Bi trac a récemment tweeté à propos d'une nouvelle arnaque qui incite les utilisateurs à autoriser les portefeuilles. Une récente victime de vol de portefeuille cryptographique a contacté l’entreprise pour demander de l’aide. La victime a expliqué que tous ses fonds avaient été volés après avoir testé un transfert de 1 USDT via un code QR. La victime a révélé qu'elle ne pouvait pas comprendre comment quelqu'un l'avait volé après avoir seulement scanné un code QR.
La société d’analyse de données a expliqué que les escroqueries au code QR étaient un nouveau type d’arnaque impliquant un test de transfert de code QR. Les escrocs suggèrent d’abord une transaction de gré à gré aux victimes inconscientes. Les mauvais acteurs proposent alors des tarifs inférieurs à ceux des autres services du marché de la cryptographie.
La société a également révélé que les escrocs proposent le TRX comme rémunération pour une coopération à long terme et effectuent un paiement en USDT pour gagner la confiance. L'escroc demande alors un petit test de paiement pour accéder à une victime.
Bi trac a testé l'arnaque à l'aide d'un portefeuille vide et du code QR fourni par la victime. La société a déclaré que l’analyse les avait conduits vers un site Web tiers demandant le montant du remboursement. Une fois que la victime confirme la transaction, les fraudeurs volent l'autorisation du portefeuille. Les cybercriminels transfèrent ensuite tous les fonds du portefeuille de la victime.