Cryptomonnaies : Grandeur et décadence

Cryptoine mise hors service. Après les attaques contre les plates-formes d’échanges AllCrypt Bitcoin et Altcoin, c’est Cryptoine qui vient d’être ciblée et mise hors service le 24 mars dernier. Cryptoine est une plate-forme d’échange assez modeste par ses volumes de transaction et sa fréquentation mais son offre particulièrement large couvre de nombreuses cryptomonnaies parfois exotiques et confidentielles. Le hacking dont elle a été victime le 24 mars 2015 l’a obligée à interrompre totalement son activité pour «gérer la crise».

Image 0 Bitcoin Cryptoine

Un certain nombre de portefeuilles de cryptomonnaies auraient été attaqués et vidés de leurs contenus. Les administrateurs de Cryptoine ont publié plusieurs communiqués à destination de leur clientèle :

Our hot wallets was drained, coins: bitcoin, litecoin, urocoin, dogecoin, bitcoinscrypt, magi, darkcoin, dogecoindark, cannabis All coins that we have, will be returned to users. Coins stolen – in correspondingly smaller quantities. We had wallets in the ratio 60%/40% (hot/cold)”

image N1 cryptoine

Retraits effectués durant le hacking de Cryptoine

Les attaquants auraient exploité un important bug de programmation (race conditioning bug) qui, une fois habilement utilisé, permet à des événements incontrôlables de se produire selon une séquence non désirée par le programmeur. L’attaquant a utilisé ce bug pour bloquer, au sein du moteur d’échange, la procédure temporelle d’exécution et de vérification de la transaction. Les concepteurs de la plate-forme d’échange déclarent sur leur site :

Unfortunately, Cryptoine was hacked. The hacker found some race condition bug in our trading engine. Manipulation of orders gave him false balances. Soon we reveal more details »

Concilier complexité et qualité d’un code

Contrairement à l’attaque de la plate-forme AllCrypt qui s’appuyait sur une vulnérabilité de WordPress, le hacking de Cryptoine exploite une faiblesse du programme supervisant le moteur d’échanges. Cette attaque ,comme d’autres avant elle, montre que la solution logicielle « maison » n’apporte pas de garanties de sécurité, pas plus d’ailleurs que l’utilisation de supports généraux développés en externe. Les notions de qualité et de résilience d’un programme prennent ici toute leur valeur. La robustesse d’un code (sa capacité à fonctionner dans des conditions non nominales) fait en principe partie du cahier des charges de tout programme moderne. Le nombre de lignes de code qui composent ce programme influence très directement « l’énergie » à déployer pour le sécuriser. Malheureusement, cette dépendance n’est pas linéaire : plus la taille du code augmente et plus l’effort à fournir par ligne de code pour le « blinder » devient important . L’attaquant profite alors pleinement de cette corrélation non linéaire. La complexité et l’IA embarquée dans les systèmes augmentent aujourd’hui régulièrement. Elles augmentent d’autant le nombre de vecteurs d’entrées utilisés pour une cyberattaque.

Hacker les cours des cryptos

D’une manière évidente, il convient de rapprocher la longue série de hacking ciblant méthodiquement et efficacement l’ensemble des plates-formes d’échanges de cryptomonnaies et l’évolution du cours du Bitcoin depuis sa création. L’insécurité chronique qui règne sur les centres d’échanges des cryptomonnaies induit très naturellement une perte de confiance des clients potentiels, légitimes ou non, et ne peut que faire chuter les cours :

Image 2 cryptoine

Cours du Bitcoin depuis 2012

La boucle systémique : « Hacking => perte de confiance => chute des cours => baisse des efforts de sécurisation => Hacking » peut provoquer la destruction momentanée des cryptomonnaies en activité. Si elle ne s’accompagne pas d’une campagne de sécurisation prioritaire des programmes sous-jacents, l’émergence de nouvelles cryptos ne fera que diluer le problème et dissoudre la confiance des usagers. Sans sécurité logicielle, le système ne pourra produire qu’une multitude de micromonnaies aussi exotiques qu’éphémères, le plus souvent dédiées à l’activité criminelle. Bien entendu, on peut toujours s’interroger aujourd’hui avec un simple « A qui profite cette boucle systémique ? ». Il faut certainement passer par cette phase d’instabilités, de turbulences et de doutes pour construire ensuite des systèmes plus robustes, plus attractifs et plus stables. En attendant, pour le cours du Bitcoin, suivez le cours du hacking…

Cyberland

Liens :

https://cryptoine.com/

https://cryptoine.com/currency/info/DCN

https://www.cryptocoinsnews.com/bitcoin-altcoin-exchange-cryptoine-hacked/

Share/Partage

Thierry Berthier

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

trois × un =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.