Dans une tournure surprenante des événements, Monero, la crypto-monnaie populaire axée sur la confidentialité, a divulgué un exploit du portefeuille de son Community Crowdfunding System (CCS) survenu le 1er septembre 2023. L'attaquant a réussi à vider le portefeuille de 2 675,73 XMR, l'équivalent d'environ 460 000 $. Cet dent a soulevé des inquiétudes quant à la sécurité et à la confidentialité de la blockchain de Monero.
L'attaque s'est déroulée en une série de neuf transactions, au cours desquelles l'auteur a réussi à siphonner la totalité du solde du portefeuille CCS. L'incident dent resté inaperçu jusqu'à récemment, lorsque Moonstone Research, une société de sécurité blockchain, dent identifié les actions de l'attaquant.
Moonstone Research trac les transactions de l'attaquant et a suggéré que l'exploit avait été exécuté par un utilisateur du portefeuille Monerujo qui avait activé une fonctionnalité connue sous le nom de « PocketChange ». Monerujo est un portefeuille Monero non dépositaire basé sur Android qui offre la fonctionnalité PocketChange, conçue pour améliorer le modèle de confidentialité de Monero en créant plusieurs « poches » ou « enotes ».
Analyser l'exploitation des fonctionnalités de confidentialité de Monero
La fonction PocketChange de Monerujo fonctionne en décomposant les pièces Monero en parties plus petites et en les distribuant dans dix poches différentes. Cette fragmentation garantit que les pièces ne fusionnent plus, permettant aux utilisateurs de dépenser instantanément depuis différentes poches sans la période d'attente habituelle.
Selon les conclusions de Moonstone Research, l'attaquant a exploité cette fonctionnalité pour créer 11 enotes de sortie, un comportement incompatible avec les transactions typiques. Moonstone Research a exprimé sa confiance dans son évaluation, que l'attaquant ait utilisé la version 3.3.7 ou 3.3.8 de Monerujo.
Le journaliste chinois Colin Wu, connu pour ses connaissances sur le secteur des crypto-monnaies, a contribué au piratage. Wu a partagé ses observations sur sa page X officielle, Wu Blockchain, et a souligné l'hypothèse de SlowMist selon laquelle la vulnérabilité pourrait être une « faille dans le modèle de confidentialité de Monero ». Bien que la source de l'attaque reste un mystère, l'incident dent soulevé des questions sur la sécurité de la blockchain de Monero et sur l'efficacité de ses fonctionnalités de confidentialité.
Le portefeuille CCS, qui sert de système de financement pour les projets communautaires, détenait un solde total de 2 675,73 XMR jusqu'au 1er septembre 2023. Ce solde a été accumulé grâce aux dons de la communauté et était destiné à soutenir diverses initiatives au sein de l'écosystème.
L'exploit du portefeuille CCS a suscité des inquiétudes quant à la sécurité du réseau Monero. La confidentialité est un principe central dans la conception des entreprises, mais cet dent a soulevé la question de savoir si les fonctionnalités de confidentialité peuvent être exploitées. Alors que les développeurs de Monero s'efforcent continuellement d'améliorer la sécurité du réseau, cet dent rappelle qu'aucun système n'est entièrement à l'abri des vulnérabilités.
Décrocher un emploi Web3 bien rémunéré en 90 jours : la feuille de route ultime