Un hacker (ou un groupe de hackers) a gagné plus de 200 Bitcoin (environ 750.000 dollars de valeur ce jour) en utilisant une attaque informatique particulièrement maline sur l'infrastructure du portefeuille Electrum Bitcoin.
Faux message d'erreur envoyé par le pirate.
L'attaque s'est soldée par l'affichage d'un message sur l'ordinateur de l'utilisateur l'exhortant à télécharger une mise à jour malveillante de son portefeuille à partir d'un dépôt non autorisé sur GitHub. L'attaque a commencé la semaine dernière, le vendredi 21 décembre, et semble avoir été temporairement arrêtée après que les administrateurs de GitHub aient démantelé le dépôt GitHub du hacker.
Les administrateurs du portefeuille Electrum s'attendent à ce qu'une nouvelle attaque recommence cependant à nouveau, avec soit un nouveau dépôt GitHub, soit un lien vers un autre emplacement de téléchargement.
Et ce parce que la vulnérabilité qui permet de réaliser cette attaque n'a pas été corrigée, même si les administrateurs du portefeuille Electrum prennent des mesures pour atténuer l'efficacité de l'attaque.
Comment fonctionne l'attaque :
- L'attaquant a ajouté des dizaines de serveurs malveillants au réseau de portefeuilles Electrum.
- Les utilisateurs de portefeuilles Electrum légitimes initient une transaction Bitcoin.
- Si la transaction atteint l'un des serveurs malveillants, ces serveurs répondent par un message d'erreur qui invite les utilisateurs à télécharger une mise à jour de l'application portefeuille depuis un site Web malveillant (un dépôt GitHub).
- L'utilisateur clique sur le lien et télécharge la mise à jour malveillante.
- Lorsque l'utilisateur ouvre le portefeuille malveillant d'Electrum, l'application lui demande un code d'authentification à deux facteurs (2FA). Il s'agit d'un signe de hacking, car ces codes 2FA ne sont demandés qu'avant l'envoi des fonds, et non au démarrage du portefeuille.
- Le portefeuille malveillant d'Electrum utilise le code 2FA pour voler les fonds de l'utilisateur et les transférer aux adresses Bitcoin de l'attaquant.
"Nous n'avons pas divulgué publiquement cette [attaque] jusqu'à présent, car au moment de la sortie de la version 3.3.2, l'attaquant s'est arrêté " a déclaré SomberNight, un développeur faisant partie de l'équipe d'Electrum. "Mais ils ont recommencé l'attaque récemment."
L'attaque s'est arrêtée il y a quelques heures lorsque GitHub a supprimé le dépôt contenant la version malveillante du portefeuille. Comme indiqué précédemment, de nouvelles attaques sont attendues, avec éventuellement un nouveau lien de téléchargement. Mais le problème ici reste les serveurs malveillants de l'attaquant.
SomberNight indique que les développeurs d'Electrum ont actuellement identifié au moins 33 serveurs Electrum malveillants qui ont été ajoutés à leur réseau, mais ce nombre semble se situer entre 40 et 50. Impossible de savoir pour l'heure ce que les développeurs ont l'intention de faire en ce qui concerne ces serveurs.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site zdnet.fr que nous remercions. il nous a semblé pertinent de vous en faire profiter.
