Profanity – Vulnérabilité critique détectée dans les adresses vanity d’Ethereum

De nombreuses fonctionnalités sont développées en parallèle du secteur des cryptomonnaies et de la blockchain. Avec pour vocation de personnaliser certaines options afin de les rendre plus simples à utiliser, ou en tout cas moins aléatoires. Un fonds de commerce qui fait le succès du projet Ethereum Name Service (ENS), tout particulièrement depuis la récente mutation The Merge. Mais jouer avec ces paramètres de sécurité peut parfois s’avérer (très) risqué. C’est en tout cas ce que viennent de découvrir les développeurs du protocole 1inch à propos de l’outil Profanity. Et il se pourrait que des millions de dollars aient déjà été volés…

Chercher à personnaliser des adresses Ethereum a quelque chose d’amusant, mais également de très pratique. Car cela permet d’échapper à cette suite de symboles alphanumériques aléatoires générés afin de protéger ses fonds en cryptomonnaies. Pourtant, rien que la fin de cette dernière phrase devrait obliger certains utilisateurs à plus de prudence. Car jouer avec ces paramètres peut rapidement comporter des risques élevés.

Profanity – Vulnérabilité dans les adresses vanity

Une conclusion à laquelle viennent de parvenir les développeurs de l’agrégateur de DEX 1inch (1INCH) suite à une enquête de plusieurs mois. Cette dernière initiée en janvier dernier après la mise en lumière du fait que l’outil Profanity « utilisait un vecteur aléatoire de 32 bits pour ensemencer des clés privées de 256 bits ». Avec comme objectif, la possibilité de personnaliser – très légèrement – les adresses Ethereum en les rendant moins aléatoires. Mais tout en conservant une sécurité efficace du fait de la sélection de cette dernière parmi plusieurs milliards de clés privées de départ.

Pourtant, selon les premières conclusions des développeurs de 1inch, il restait « possible de recalculer toutes les adresses personnalisées en réensemençant les 4 milliards de vecteurs initiaux ». Mais cela nécessitait l’utilisation d’un matériel conséquent (des milliers de GPU) et plusieurs mois d’efforts. Raison pour laquelle ce problème a ensuite été considéré comme inexistant.

Cryptomonnaies

Rapport - Crypto-criminalité en baisse, mais pas dans tous les secteurs

Hugh B. - 17 Août 2022 - 13:30

Les activités illégales liées au secteur des cryptomonnaies sont l’un [...]

Lire la suite >>

Cependant, en juin de cette année, d’autres indices sont venus contredire cette conclusion plutôt positive. Car des activités suspectes ont été détectées « sur l’un des portefeuilles de déploiement 1inch, ainsi que de Synthetix (SNX) et de quelques autres protocoles ».

« Cela devenait vraiment suspect. Comme il y avait des signes indiquant qu’un piratage avait dû avoir lieu, les contributeurs de 1inch ont passé du temps à enquêter. Et, il y a quelques semaines, ils ont découvert qu’une attaque par force brute de l’adresse vanity pouvait ramener aux 4 milliards de graines d’origine de manière plus efficace. »

1inch

Adresses vanity – Des millions de dollars exposés ?

Car l’un des principaux problèmes de cet outil Profanity est son abandon pur et simple depuis plusieurs années. Et, de ce fait, l’absence totale de mises à jour depuis cette période. Car son développeur, répondant au pseudonyme « johguse » sur Github, a déclaré suite à cette affaire que la découverte « de problèmes de sécurité fondamentaux dans la génération de clés privées » l’avait poussé à jeter l’éponge à cette époque. Mais cela n’a pas empêché de nouveaux utilisateurs de se servir de cette fonctionnalité. Ni même les anciens de se retrouver exposés à de possibles attaques ciblées.

« Il y a quelques jours, les contributeurs 1inch impliqués ont obtenu un code de preuve de concept leur permettant de récupérer les clés privées de toute adresse personnalisée générée avec Profanity. Et cela presque au même moment que celui requis pour générer cette adresse personnalisée. »

1inch

La faille a donc été découverte. Et cette dernière pourrait bien être déjà exploitée depuis des années par des acteurs malveillants. Avec comme conséquence, la vidange discrète et inexpliquée des fonds détenus sur les portefeuilles liés à ces clés privées compromises. Et « des dizaines de millions de dollars en cryptomonnaies (qui) pourraient être volés, voire des centaines de millions ». Raison pour laquelle les développeurs de 1inch conseillent aux détenteurs de ce type de comptes de transférer le plus rapidement possible leurs cryptomonnaies vers un portefeuille sécurisé.