Les phrases de départ, une combinaison aléatoire de mots de la liste de 2048 mots du protocole d’amélioration Bitcoin (BIP) 39, agissent comme l’une des principales couches de sécurité contre l’accès non autorisé aux avoirs cryptographiques d’un utilisateur. Mais que se passe-t-il lorsque la saisie prédictive de votre téléphone « intelligent » se souvient et suggère les mots la prochaine fois que vous essayez d’accéder à votre portefeuille numérique ?
Andre, un professionnel de l’informatique de 33 ans originaire d’Allemagne, a récemment posté sur le subreddit r/CryptoCurrency après avoir découvert la capacité de son téléphone portable à prédire l’intégralité de la phrase de départ de récupération dès qu’il a tapé le premier mot.
Comme un avertissement juste pour les autres Redditors et les passionnés de crypto, le message d’Andre a souligné la facilité avec laquelle les pirates peuvent utiliser la fonctionnalité pour drainer les fonds d’un utilisateur simplement en étant capable de taper le premier mot de la liste BIP 39 :
« Cela facilite l’attaque, met la main sur un téléphone, démarre n’importe quelle application de chat et commence à taper n’importe quel mot de la liste BIP39, et voit ce que le téléphone suggère. »
S’adressant à Cointelegraph, Andre, autrement connu sous le nom de u / Divinux sur Reddit, a partagé son choc lorsqu’il a vu son téléphone pour la première fois deviner littéralement la phrase de départ de 12 à 24 mots. « D’abord, j’ai été stupéfait. Les premiers mots pourraient être une coïncidence, n’est-ce pas ? »
En tant qu’individu féru de technologie, l’investisseur allemand en cryptographie a pu reproduire le scénario dans lequel son téléphone portable pouvait prédire avec précision les phrases de départ. Après avoir réalisé l’impact possible de cette information si elle tombait entre de mauvaises mains, « j’ai pensé que je devrais en parler aux gens. Je suis sûr qu’il y en a d’autres qui ont aussi tapé des graines dans leur téléphone.
Les expériences d’André ont confirmé que le GBoard de Google était le moins vulnérable car le logiciel ne prédisait pas chaque mot dans le bon ordre. Cependant, le clavier Swiftkey de Microsoft a pu prédire la phrase de départ dès la sortie de la boîte. Le clavier Samsung peut également prédire les mots si « Remplacement automatique » et « Suggérer des corrections de texte » ont été activés manuellement.
Le passage initial d’André avec la crypto remonte à 2015 lorsqu’il a momentanément perdu tout intérêt jusqu’à ce qu’il se rende compte qu’il pouvait acheter des biens et des services en utilisant Bitcoin (BTC) et d’autres crypto-monnaies. Sa stratégie d’investissement consiste à acheter et à jalonner des BTC et des altcoins tels que Terra (LUNA), Algorand (ALGO) et Tezos (XTZ) et « puis la moyenne du coût en dollars dans BTC quand/s’ils lune ». Le professionnel de l’informatique développe également ses propres pièces et jetons comme passe-temps.
Une mesure de sécurité contre d’éventuels piratages, selon Andre, consiste à stocker des avoirs importants et à long terme dans un portefeuille matériel. Aux Redditors du monde entier, il conseille « pas vos clés ni vos pièces, faites vos propres recherches, ne faites pas de FOMO, n’investissez jamais plus que ce que vous êtes prêt à perdre, vérifiez toujours l’adresse à laquelle vous envoyez, envoyez toujours un petite quantité au préalable et désactivez vos PM dans les paramètres », concluant :
« Faites-vous un solide et évitez que cela ne se produise en effaçant votre cache de type prédictif. »
Lié: Les imitateurs de STEPN volent les phrases clés des utilisateurs, avertissent les experts en sécurité
La société de sécurité Blockchain PeckShield a mis en garde la communauté crypto contre un grand nombre de sites Web de phishing ciblant les utilisateurs de l’application de style de vie Web3 STEPN.
#PeckShieldAlert #Hameçonnage PeckShield a détecté un bain de @Stepnofficial sites de phishing. Ils insèrent une fausse extension de navigateur Metamask conduisant au vol de votre phrase de départ ou vous invitent à connecter vos portefeuilles ou à réclamer un cadeau. @Metamask @Coinbase @WalletConnect @fantôme pic.twitter.com/cmWUcprMAN
– PeckShieldAlert (@PeckShieldAlert) 25 avril 2022
Comme Cointelegraph l’a récemment rapporté, sur la base des découvertes de PechShield, les pirates insèrent un plug-in de navigateur MetaMask forgé grâce auquel ils peuvent voler des phrases de départ aux utilisateurs STEPN sans méfiance.
L’accès à la phrase de départ garantit un contrôle complet sur les fonds cryptographiques de l’utilisateur via le tableau de bord STEPN.