Cryptomonnaies : un piratage massif cible un portefeuille sur la blockchain Solana
Des utilisateurs de l'application mobile Slope, un portefeuille réputé sécurisé permettant de gérer des crypto-actifs sur la blockchain Solana, ont vu leurs avoirs siphonnés. Entre 5 et 6 millions de dollars auraient été volés.
La blockchain Solana est visée par un piratage d'ampleur depuis la nuit de mardi à mercredi. Le maillon faible se nomme Slope. Il s'agit d'un portefeuille de cryptomonnaies compatible avec Solana, sur mobile, qui propose également une extension de navigateur pour accéder aux applications décentralisées de la blockchain. A l'heure qu'il est, selon les estimations, environ 8000 portefeuilles auraient été siphonnés, pour un butin évalué entre 5 et 6 millions de dollars.
le portefeuille mobile slope au coeur du piratage
La vulnérabilité exacte n'a pas encore été identifiée, mais il semblerait que le code de la blockchain Solana ne soit pas en cause. Ce sont les clés privées des portefeuilles Slope compromis – des portefeuilles inactifs depuis plus de six mois, apparemment - qui auraient été transférées à un tiers.
Pour comprendre la portée de ce piratage, revenons sur le fonctionnement d'un portefeuille de cryptomonnaies. Il s'agit d'un logiciel qui stocke la clé publique et la clé privée d'un utilisateur, soit les deux éléments qui permettent d'effectuer des transactions sur une blockchain : en envoyer et en recevoir. Ces clés se présentent sous la forme de suites alphanumériques assez longues, difficilement mémorisables ce qui implique de les stocker. La clé publique est celle que l'on partage lors d'une transaction, un peu comme un RIB. La clé privée est celle qui sert de signature ou d'identifiant personnel et de ne doit en aucun cas être transmise à un tiers.
des clés privées censées être protégées
Slope est une application que l'on appelle dans le jargon de la crypto un "wallet non custodial" ou "non dépositaire", c'est-à-dire que la clé privée n'est pas conservée par le logiciel, contrairement aux "wallets custodials", proposés par exemple par les grandes places de marché de cryptomonnaies, qui conservent pour l'utilisateur sa clé privée. Ce qui est plus simple mais considéré comme moins sécurisé. L'adage qui prévaut dans l'univers des cryptomonnaies consiste en effet à dire que si l'on ne possède pas sa clé privée, on ne possède pas ses cryptomonnaies.
A priori, on peut donc penser que les clés privées étaient à l'abri sur Slope. Mais il existe un autre critère discriminant entre les différents types de portefeuilles. Il s'agit de la distinction entre "hot wallet", des portefeuilles "à cahud" connectés à internet, et "cold wallet", des portefeuilles "à froid" qui ne sont pas en ligne en permanence. Slope est un "hot wallet", et en tant que tel, il reste quand même vulnérable. En tout cas, les clés privées se seraient bien retrouvées entre les mains du ou des cybercriminels.
Ce piratage est une bonne publicité pour les portefeuilles matériels "à froid", tels que Ledger. Et un rappel de la complexité d'accès aux transactions sur la blockchain, ne serait-ce que pour savoir quel type de portefeuille utiliser.
