Le fondateur de Cardano, Charles Hoskinson, affirme que la blockchain n’a pas été piratée. La faille du portefeuille SecondFi provient d’un code modifié closed-source, dit-il.
Le titre s’est écrit tout seul : Cardano a été piraté. Sauf que non. Charles Hoskinson l’a affirmé le 24 juin, diffusant depuis le Colorado ce qu’il a décrit comme une séance tardive à décortiquer un code qu’il n’aurait pas dû avoir à décortiquer.
SecondFi, le portefeuille anciennement connu sous le nom de Yoroi, a signalé un incident de sécurité lié à son logiciel natif de génération de portefeuilles web. Les rapports circulant plus tôt cette semaine estimaient les pertes à environ 16 millions d’ADA, des NFT et autres jetons ayant également été prélevés depuis environ 178 portefeuilles en auto-garde. Les chiffres exacts n’ont pas été vérifiés de manière indépendante. La faille de génération de portefeuille a exposé les clés privées au moment de la création du portefeuille, selon les rapports de l’époque.
Hoskinson avait autre chose en tête. La question à laquelle il voulait une réponse n’était pas l’ampleur de la perte. Il voulait savoir si quoi que ce soit à l’intérieur de la couche cryptographique de Cardano avait été touché.
Cardano n’est pas le problème ici
Sa réponse, après avoir désassemblé le TypeScript minifié de SecondFi : non. Les bibliothèques cryptographiques open-source utilisées par la grande majorité des portefeuilles Cardano, a-t-il dit sur YouTube, semblent être exactement comme elles étaient avant tout cela. Dérivation de clés, logique de portefeuille HD, sélection UTXO — rien de tout cela, selon son examen, ne semble avoir été touché.
Ce qui semble différent, c’est le code closed-source. Hoskinson a déclaré que les transactions anormales semblent liées à la couche propriétaire de SecondFi, spécifiquement un code qui avait été modifié par rapport au standard open-source maintenu par Cardano. Cette distinction, il y est revenu sans cesse.
Comme l’ont noté les Cardaniens sur X le 23 juin, il ne s’agissait pas d’un compromis de la blockchain Cardano. Le compte a écrit que la cause première se trouvait dans le logiciel natif de génération de portefeuilles web de SecondFi, pas dans la chaîne. Selon Hoskinson, ce cadrage est exact.
Ce que le code désassemblé a réellement montré
Il a dit qu’il avait pu reproduire la manière dont l’attaque s’est produite. Il ne dira pas comment. Les audits indépendants viennent en premier, a-t-il expliqué, et Emurgo doit mener cette divulgation. Selon lui, les phrases de récupération de 24 mots utilisées par les utilisateurs concernés ne sont peut-être pas compromises en elles-mêmes. Les choses dérivées de ces mots-clés par la suite, c’est une autre histoire.
L’infrastructure open-source que Cardano a passé des années à construire a été conçue pour exactement ce genre de pression. La position d’Hoskinson, énoncée avant cet incident et apparemment confirmée par lui : le code cryptographique qui affecte l’écosystème plus large devrait être construit par une fédération d’entités, pas par un seul fournisseur. Il l’a dit clairement.
Input Output n’a pas l’autorité de geler des fonds ou d’inverser des transactions. Hoskinson a été direct à ce sujet. Cardano a été conçu comme une véritable cryptomonnaie, et aucun acteur unique ne détient ces pouvoirs d’intervention. Cela, a-t-il dit, est intentionnel.
Activité des white hats et suite des événements
Certains fonds qui ont été déplacés après l’incident n’ont peut-être pas du tout été déplacés par l’attaquant. Hoskinson a dit avoir entendu des rapports d’activité de white hats, certains actifs ayant été récupérés par cette voie. Il a dit qu’il avait hâte de comprendre comment ces fonds seront restitués.
Son conseil pour quiconque détient un portefeuille ayant touché au système de SecondFi : laissez les clés au repos. Ne transigez pas. Il a qualifié l’ensemble de l’application de compromise jusqu’à ce qu’un audit indépendant dise le contraire et qu’un processus formel de remédiation soit lancé.
La couverture médiatique crypto, a-t-il dit, était exactement ce à quoi il s’attendait. Il l’a qualifiée, selon ses mots, de « déchets journalistiques de faible intégrité générés par IA ». Puis il est passé à la partie technique. SecondFi a été placé en mode maintenance. La revue indépendante est toujours en attente.
Laisser un commentaire