Coup dur pour Monero – Lancée en avril 2014, Monero est l’une des plus anciennes cryptomonnaies encore actives à ce jour. Celle-ci est spécialisée dans la protection de la vie privée de ses utilisateurs en proposant des transactions anonymisées. Malheureusement, le wallet communautaire du projet a récemment été victime d’un hack.
450 000$ dérobé à la communauté de Monero
Le 2 novembre, Luigi111, l’un des développeurs actifs sur le protocole Monero a annoncé que près d’un demi-million de dollars avaient été dérobés.
En pratique, il semblerait que ce soit le wallet crowdfunding communautaire de Monero qui ait été ciblé par l’attaque. Pour rappel, le Community Crowdfunding System (CCS) de Monero est un programme de financement participatif. Celui-ci permet de financer les propositions d’évolution émanant de la communauté. Ce système a été conçu pour rester en accord avec les principes de décentralisation et d’autonomie du projet Monero, qui ne possède pas de structures de gouvernance formelles.
Au total, le hacker a dérobé 2 675 XMR le 1er septembre dernier, soit l’équivalent de 448 000$ dans le cold wallet du CCS.
Comme précisé par Luigi111, ce programme de financement est composé de deux wallets. D’une part, un cold wallet détient l’ensemble des donations provenant de la communauté. De l’autre, un hot wallet qui permet d’effectuer les paiements aux initiatives approuvées par le CCS.
Ainsi, l’attaque a ciblé le cold wallet, qui a été intégralement siphonné. De son côté, le hot wallet dispose toujours de 244 XMR. À noter, que le fond de développement actif, un second fonds permettant de financer le développement de Monero n’a pas été impacté. L’attaque a uniquement ciblé le fonds dédié aux initiatives communautaires.
Le mystère reste entier
Malheureusement, le mode opératoire employé par le hacker reste inconnu. En effet, Luigi111 a dévoilé qu’il n’avait pas été en mesure de déterminer la source de la brèche.
Une chose est sûre : l’attaquant a été en mesure d’accéder à la seed phrase du wallet siphonné. La question qui se pose, c’est de savoir comment.
En effet, le wallet a initialement été créé par le développeur fluffypony, qui a partagé la seed phrase avec Luigi111 via une méthode semblerait-il sécurisée. Par la suite, Luigi111 était chargé d’interagir avec les différents wallets afin de transférer les fonds du cold vers le hot wallet pour réaliser les paiements.
Les différentes pistes
Plusieurs pistes ont été envisagées. D’une part, Luigi111 alimentait le hot wallet grâce au wallet CCS auquel il accédait via SSH. En effet, celui-ci était hébergé sur un serveur Ubuntu, situé au domicile de Luigi111. Un point qui laisse à penser que c’est à ce niveau que le hacker a réussi à récupérer les clés privées.
D’autres internautes envisagent qu’il soit possible que l’ordinateur sous Windows utilisé pour accéder au serveur Ubuntu via SSH ait pu être vérolé.
« Je ne serais pas surpris que la machine Windows de Luigi fasse déjà partie d’un botnet non détecté et que ses opérateurs aient effectué cette attaque via les détails de la session SSH sur cette machine (soit en volant la clé SSH, soit en utilisant en direct la capacité de contrôle à distance du bureau du cheval de Troie alors que la victime n’était pas au courant). Il n’est pas rare que des machines Windows de développeurs compromises soient à l’origine d’importantes brèches dans les entreprises. »
Enfin, impossible de ne pas envisager la piste du rugpull. En effet, seuls fluffypony et Luigi disposaient des accès à ce wallet. Toutefois, cette situation semble peu probable pour l’internaute MoneroTime, qui nous a éclairés sur la situation.
Selon lui, aucun de ces développeurs de longue date n’aurait d’intérêt à perpétuer ce vol. D’une part, car ils sont probablement déjà confortables financièrement. De l’autre, car ils n’auraient aucun mal à obtenir des financements de manière légitime via le programme de financement de Monero si cela était nécessaire. Quoi qu’il en soit, le mystère reste pour le moment entier.
Malheureusement, ce hack vient alourdir le bilan de l’année 2023. Jusqu’à présent, plus d’un milliard de dollars ont été dérobés en cryptomonnaies cette année.
En crypto, ne faites pas l’économie de la prudence ! Ainsi, pour conserver vos avoirs cryptographiques à l’abri, la meilleure solution est encore un wallet hardware personnel. Chez Ledger, il y en a pour tous les profils et toutes les cryptos. N’attendez pas pour mettre vos capitaux en sécurité (lien commercial) !