Faille de sécurité révélée : le portefeuille CCS de Monero vidé de 460 000 $

Contre toute attente, Monero, la cryptomonnaie populaire axée sur la confidentialité, a révélé une faille de sécurité dans le portefeuille de son système de financement participatif communautaire (CCS), survenue le 1er septembre 2023. L'attaquant a réussi à dérober 2 675,73 XMR, soit l'équivalent d'environ 460 000 dollars. Cetdent a suscité des inquiétudes quant à la sécurité et à la confidentialité de la blockchain Monero.

L'attaque s'est déroulée en neuf transactions successives, au cours desquelles l'auteur a réussi à siphonner la totalité du solde du portefeuille CCS. L'dent est resté confidentiel jusqu'à récemment, lorsque Moonstone Research, une entreprise spécialisée dans la sécurité blockchain, adentles agissements de l'attaquant.

Moonstone Research tracles transactions de l'attaquant et a suggéré que l'exploitation de la faille avait été effectuée par un utilisateur du portefeuille Monerujo ayant activé une fonctionnalité appelée « PocketChange ». Monerujo est un portefeuille Monero non custodial basé sur Android qui offre la fonctionnalité PocketChange, conçue pour améliorer le modèle de confidentialité de Monero en créant plusieurs « poches » ou « enotes ».

Analyse de l'exploitation des fonctionnalités de confidentialité de Monero

La fonctionnalité PocketChange de Monerujo fonctionne en divisant les pièces Monero en plus petites fractions et en les répartissant dans dix poches différentes. Cette fragmentation empêche les pièces de fusionner à nouveau, permettant ainsi aux utilisateurs de dépenser instantanément depuis différentes poches, sans délai.

D'après les conclusions de Moonstone Research, l'attaquant a exploité cette faille pour générer 11 enotes de sortie, un comportement inhabituel pour une transaction. Moonstone Research a confirmé la validité de son analyse, que l'attaquant ait utilisé la version 3.3.7 ou 3.3.8 de Monerujo.

Colin Wu, journaliste crypto chinois réputé pour son analyse du secteur des cryptomonnaies, a commenté le piratage. Sur sa page officielle X, Wu Blockchain, il a partagé ses observations et souligné l'hypothèse de SlowMist selon laquelle cette vulnérabilité pourrait être une faille dans le modèle de confidentialité de Monero. Bien que l'origine de l'attaque reste inconnue, cet incidentdent des questions quant à la sécurité de la blockchain Monero et à l'efficacité de ses mécanismes de protection de la vie privée.

Le portefeuille CCS, qui sert de système de financement pour les projets communautaires, détenait un solde total de 2 675,73 XMR au 1er septembre 2023. Ce solde a été accumulé grâce aux dons de la communauté et était destiné à soutenir diverses initiatives au sein de l’écosystème.

L'exploitation de la faille du portefeuille CCS a suscité des inquiétudes quant à la sécurité du réseau Monero. La protection de la vie privée est un principe fondamental de la conception des entreprises, mais cetdent a soulevé des questions quant à la possibilité d'exploiter les fonctionnalités de confidentialité. Bien que les développeurs de Monero travaillent sans relâche à renforcer la sécurité du réseau, cetdent rappelle qu'aucun système n'est totalement à l'abri des vulnérabilités.