Un architecte système a déchiffré une phrase de départ et a remporté une prime de 100 000 Satoshi, ou 0,001 Bitcoin (BTC), d’une valeur de 29 $, en un peu moins d’une demi-heure. Cointelegraph s’est entretenu avec Andrew Fraser à Boston, qui a souligné à quel point il est essentiel de garder une phrase de départ de portefeuille Bitcoin sécurisée et hors ligne.
Une phrase de départ ou une phrase de récupération est une chaîne de mots aléatoires générée lors de la création d’un portefeuille qui peut accéder au portefeuille, semblable à une clé principale. La brute de Fraser a forcé une phrase de départ de 12 mots que l’éducateur Bitcoin « Wicked Bitcoin » a partagé sur Twitter :
Quelqu’un veut-il essayer de forcer brutalement cette phrase de départ de 12 mots sécurisant 100 000 sats? Je vais vous donner les 12 mots mais sans ordre particulier. Chemin de dérivation standard m/84’/0’/0’… pas de trucs compliqués. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Méchant (@w_s_bitcoin) 26 avril 2023
Comme indiqué, le Tweet de Wicked a mis les utilisateurs au défi de déchiffrer l’ordre correct de la phrase de départ de 12 mots.
« Quelqu’un veut essayer de forcer brutalement cette phrase de départ de 12 mots sécurisant 100 000 sats ? Je vais vous donner les 12 mots mais sans ordre particulier. Chemin de dérivation standard m/84’/0’/0’… pas de trucs compliqués. G. L. »
Il n’a fallu que 25 minutes pour débloquer les 100 000 Satoshis, soit un peu moins de 30 $. L’incident sert de rappel opportun aux utilisateurs de Bitcoin et aux passionnés de cryptographie pour qu’ils prennent au sérieux la sécurité de la cryptographie.
Fraser a déchiffré le code à l’aide de BTCrecover, une application logicielle disponible sur GitHub. Le logiciel offre une gamme d’outils qui peuvent déterminer les phrases de départ avec des mnémoniques manquants ou brouillés et des utilitaires de craquage de phrase de passe. Sur Twitter DM, Fraser a déclaré à Cointelegraph :
« Mon GPU de jeu a été capable de déterminer l’ordre correct de la phrase de départ en environ 25 minutes. Bien qu’un système plus performant le fasse beaucoup plus rapidement. »
Il a noté que toute personne ayant une connaissance de base de l’exécution de scripts Python, de l’utilisation du shell de commande Windows et de la compréhension du protocole Bitcoin, en particulier des mnémoniques BIP39, devrait être en mesure de reproduire son succès.
Cointelegraph a interrogé Fraser sur la sécurité des clés de départ de 12 mots. Fraser a expliqué qu’ils sont « parfaitement sécurisés si les mots restent inconnus d’un attaquant ou s’il existe une phrase de passe » 13e mot de départ « utilisée dans le chemin de dérivation du portefeuille ».
De plus, il a souligné la sécurité supérieure des clés de départ de 24 mots.
« Même si un attaquant connaissait les mots dans le désordre de votre clé de départ de 24 mots, il n’aurait jamais l’espoir de découvrir la bonne graine. »
Fraser a décomposé les calculs d’entropie pour expliquer la différence de sécurité entre les deux types de clés de départ. Une graine de 12 mots a environ 128 bits d’entropie, tandis qu’une graine de 24 mots possède 256 bits. Lorsqu’un attaquant connaît les mots non ordonnés d’une graine de 12 mots, il n’y a qu’environ un demi-milliard de combinaisons possibles, ce qui est relativement facile à tester avec un GPU décent. Une graine de 24 mots, cependant, a environ 6,24 ^ 24 combinaisons possibles – et cela fait beaucoup de zéros.
En relation: Les pires endroits pour conserver votre phrase de départ de portefeuille crypto
Même la probabilité qu’un attaquant déchiffre une phrase de départ de 12 mots est à la limite de l’absurde. Les phrases de départ de 24 mots peuvent être supérieures, mais comme le souligne Wicked dans un post-mortem au défi de la phrase de départ; « ça ne va pas être piraté tbh. »
Au cas où quelqu’un trouverait votre phrase de départ coupée et hors service, alors oui lol.
— Méchant (@w_s_bitcoin) 27 avril 2023
En fin de compte, c’est un rappel opportun aux lecteurs pour s’assurer que les phrases clés ne sont jamais publiées ou partagées en ligne. Cela signifie qu’une phrase de départ ne doit pas être stockée dans un gestionnaire de mots de passe, une solution de stockage en nuage, et qu’elle ne doit certainement pas être saisie dans un téléphone.
Fraser a également souligné l’importance de garder secrètes les clés de départ et de tirer parti d’une phrase de passe qui fonctionne dans le cadre du chemin de dérivation. Quant aux 100 000 Sats que Fraser a ramenés à la maison ? Fraser a tweeté qu’il les avait dépensés pour le dîner ce soir-là : poulet Marsala. Parlons de l’économie circulaire.
Cointelegraph Magazine : Bitcoin au Sénégal : Pourquoi ce pays africain utilise-t-il le BTC ?