Dans une démarche sans précédent dans le monde de la cybersécurité, Zengo Wallet, un fournisseur de portefeuilles de crypto-monnaie, a annoncé un programme unique de bug bounty qui offre aux dent la chance de gagner une récompense substantielle de 10 Bitcoin (BTC), actuellement évaluée à plus de 430 000 $.
Cette approche non conventionnelle vise à mettre la sécurité du portefeuille Zengo à l'épreuve ultime, en fournissant une forte incitation à l' dent et à l'exploitation des vulnérabilités potentielles. Le programme devrait durer 15 jours, commençant le 9 janvier et se terminant le 24 janvier 2024.
Contrairement aux programmes traditionnels de bug bounty qui récompensent les pirates informatiques pour avoir découvert et divulgué des vulnérabilités de manière responsable, Zengo Wallet emprunte une voie différente. Au lieu de payer des pirates pour dent et signaler les bogues, la société place 10 Bitcoin sur un compte contrôlé par le développeur.
Le problème est que si un pirate informatique réussit à drainer le Bitcoin du compte, il sera autorisé à conserver la totalité de la somme.
La chronologie du programme de primes
Le programme de bug bounty Zengo Wallet est divisé en plusieurs phases sur 15 jours, à compter du 9 janvier. Voici un aperçu du calendrier du programme :
9 janvier : L'adresse du compte sera révélée et il contiendra initialement 1 BTC, soit environ 43 000 $.
14 janvier : Zengo Wallet ajoutera 4 BTC supplémentaires, totalisant 172 000 $, au compte et fournira l'un des « facteurs de sécurité » utilisés pour sécuriser le compte.
21 janvier : L'équipe ajoutera 5 BTC supplémentaires, soit un montant de 215 000 $, au portefeuille et révélera un deuxième facteur de sécurité. Le portefeuille repose sur un total de trois facteurs de sécurité.
Les hackers qui souhaitent participer auront jusqu'à 16h00 UTC le 24 janvier pour tenter de pirater le portefeuille. Si quelqu’un y parvient pendant cette période, il aura le droit de conserver la totalité de la récompense de 10 BTC.
Fonctionnalités de sécurité uniques de Zengo Wallet
Zengo Wallet propose une approche distinctive de la sécurité. Il prétend être un portefeuille sans « vulnérabilité de phrase de départ », ce qui constitue une différence notable par rapport aux portefeuilles de crypto-monnaie conventionnels. Les utilisateurs ne sont pas tenus de copier les mots de départ lors de la création du compte, et le portefeuille ne stocke aucun fichier de coffre-fort de clés.
Le cœur de la sécurité de Zengo Wallet réside dans son utilisation de la technologie réseau de calcul multipartite (MPC) pour la signature des transactions. Plutôt que de générer une clé privée, le portefeuille crée deux « parts secrètes » distinctes. Le premier partage est stocké sur l'appareil mobile de l'utilisateur, tandis que le second réside sur le réseau MPC.
Le partage de l'utilisateur est en outre sécurisé grâce à une méthode d'authentification à trois facteurs (3FA), qui nécessite l'accès à un fichier de sauvegarde crypté sur son compte Google ou Apple, à l'adresse e-mail liée au compte portefeuille et à une analyse du visage sur son appareil mobile. Ces trois facteurs sont cruciaux pour reconstituer la part de l'utilisateur.
De plus, une méthode de sauvegarde existe pour le partage du réseau MPC. Zengo Wallet a confié à un cabinet d'avocats tiers une « clé principale de déchiffrement ». Si les serveurs du réseau MPC deviennent inaccessibles, ce cabinet d'avocats peut publier la clé de décryptage sur un référentiel GitHub.
Dans un tel cas, l'application portefeuille entrera matic en « mode de récupération », permettant aux utilisateurs de reconstituer la part du réseau MPC correspondant à leur compte. Une fois les deux partages obtenus, les utilisateurs peuvent générer une clé privée traditionnelle et l'importer dans une autre application de portefeuille, facilitant ainsi la restauration du compte.
La décision de Zengo Wallet d'opter pour un programme de bug bounty non conventionnel suscite un intérêt considérable dans les communautés de crypto-monnaie et de cybersécurité. Cette approche unique met les pirates au défi de trouver et d'exploiter les vulnérabilités d'un portefeuille prétendant offrir une sécurité plus élevée, notamment en éliminant le besoin de phrases de départ et de clés privées traditionnelles.
Le monde de la crypto-monnaie surveillera de près tout développement au fur et à mesure que le programme de bug bounty se déroulera au cours des semaines à venir. Cette initiative innovante teste la sécurité du portefeuille et repousse les limites des pratiques traditionnelles de bug bounty.