
SlowMist : Méfiez-vous des fuites de phrases de récupération causées par l'utilisation de comptes créés sur la plateforme Replit
TechFlow SélectionTechFlow Sélection

SlowMist : Méfiez-vous des fuites de phrases de récupération causées par l'utilisation de comptes créés sur la plateforme Replit
Ce type d'attaque a un coût extrêmement faible, l'attaquant pouvant la lancer dès lors qu'il maîtrise des compétences de base en recherche et en balayage.
Rédaction : Yao
Contexte
Récemment, une victime a contacté l'équipe de sécurité SlowMist après avoir perdu 90 000 ATOM en raison de l'utilisation de la plateforme de programmation en ligne Replit pour créer un portefeuille du protocole Atomicals et y transférer progressivement des ATOM (jetons ARC20 générés par le protocole Atomicals). Selon la description de la victime, la clé privée ou la phrase secrète aurait été compromise lors d'une copie-collage effectuée dans le navigateur.
Analyse de la création de portefeuille via Replit
atomicals-js (https://github.com/atomicals/atomicals-js) est une interface en ligne de commande et une bibliothèque JavaScript développée et publiée officiellement par Atomicals sur Github, permettant aux utilisateurs d'interagir facilement avec Atomicals via JavaScript.

Replit est une plateforme populaire de programmation en ligne dont l'interface web constitue un IDE en ligne prenant en charge plusieurs langages comme Python et JavaScript. Elle permet d'écrire directement du code dans le navigateur, de démarrer rapidement des projets et de partager du code.

Sur des plateformes telles que Weibo, Twitter ou YouTube, nombreux sont les tutoriels disponibles expliquant comment créer un portefeuille ARC20 :

Certains de ces tutoriels détaillent spécifiquement l'utilisation de Replit pour déployer en ligne le projet atomicals-js afin de générer un portefeuille et y transférer des jetons ATOM ARC20.

(https://weibo.com/ttarticle/p/show?id=2309404950524427632902)

Ces tutoriels, bien qu’axés principalement sur les nouveaux jetons ARC20, recommandent fréquemment l’utilisation de la plateforme Replit.

En raison du caractère public de Replit, tous les codes déployés sur cette plateforme sont accessibles à tous. Une fois le projet atomicals-js déployé et exécuté, un fichier wallet.json est généré dans le répertoire du projet. Ce fichier contient des informations sensibles telles que la phrase secrète, la clé privée et l'adresse du portefeuille.

Il convient de noter qu'à l’aide de recherches simples ou de techniques telles que le « Google Hacking », il est très facile de repérer les projets utilisant atomicals-js et déployés sur Replit, puis d’accéder aux fichiers wallet.json associés.

Par conséquent, suivre ce type de tutoriel comporte d’importants risques. Il faut éviter d’exécuter sur des plateformes accessibles publiquement tout code pouvant contenir des informations sensibles, surtout lorsqu’il s’agit de portefeuilles cryptographiques ou de clés privées. La génération et la gestion des portefeuilles de crypto-monnaies doivent être effectuées dans des environnements sûrs et fiables.
Analyse des adresses malveillantes
L’analyse réalisée à l’aide de MistTrack montre que la victime a transféré plusieurs lots d’ATOM (selon sa description, environ 98 000) le 23 septembre vers l’adresse du portefeuille ARC20 créée : bc1pt046u0mew4yq83ftwrp3eqfalvf8d6g6lncnmnf3l4zaaalpl54qwvxuqp. Ces jetons ont été transférés dès le 24 septembre vers l’adresse du pirate : bc1psanyvngxqgwxcssfwryl8mva7em4pmp37jcck2m67xtux8l887js7ezvev.


Une requête via https://satsx.io/ indique que, à ce jour, 68 000 ATOM ARC20 volés par le pirate n’ont pas encore été transférés.

Conclusion
L’attaque décrite dans cet article nécessite très peu de ressources. Un attaquant disposant de compétences basiques en recherche et en balayage peut facilement la mettre en œuvre. L’équipe de sécurité SlowMist rappelle qu’en cas d’utilisation accidentelle de Replit pour générer un portefeuille, il est impératif de transférer immédiatement les fonds concernés et de supprimer les fichiers sensibles. En outre, lorsque vous utilisez un portefeuille ou une phrase secrète générés sur une plateforme web inconnue, restez extrêmement vigilant. SlowMist recommande vivement aux utilisateurs de choisir des services de portefeuille reconnus et ayant fait l’objet d’audits de sécurité afin de réduire les risques de fuite d’informations.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










