Dix ans après l'effondrement de Mt. Gox : qui est le cerveau derrière ce piratage ? Comment le vol s'est-il produit ?
TechFlow SélectionTechFlow Sélection
Dix ans après l'effondrement de Mt. Gox : qui est le cerveau derrière ce piratage ? Comment le vol s'est-il produit ?
Le coupable principal reste un mystère non résolu.
Dédié à des analyses Web3 approfondiesRédaction : Mark Hunter, CoinDesk
Traduction : Deng Tong, Jinse Caijing
L'exchange japonais de bitcoin Mt. Gox a fait faillite en février 2014.
Entre mars 2011 et janvier 2014, plus de 880 000 BTC ont été perdus ou volés sous diverses formes par Mt. Gox. Cette perte s'élève aujourd'hui à environ 45 milliards de dollars américains. Pourtant, dix ans après l'effondrement de Mt. Gox, plusieurs questions importantes restent sans réponse.
Qui sont les coupables ?
L'une des questions clés encore inconnue est de savoir si nous connaissons tous les responsables. Pendant le fonctionnement de Mt. Gox, plus de 809 000 BTC ont été volés lors de six attaques informatiques. Nous ne connaissons que deux noms liés à une seule de ces attaques : Alexey Bilyuchenko et Aleksandr Verner, accusés d'avoir fait partie d'un groupe de hackers russes ayant infiltré l'exchange en octobre 2011. Pendant 26 mois, les deux hommes ont dérobé et blanchi 647 000 bitcoins depuis les portefeuilles froids de l'exchange.
Verner et Bilyuchenko font uniquement l'objet d'accusations américaines. Toutefois, les autorités les inculpent pour blanchiment d'argent, non pour piratage informatique, ce qui pourrait indiquer un manque de preuves directes à leur encontre.
Outre ces accusations scellées en 2017 et rendues publiques en juin dernier, nous ignorons totalement qui a volé les 162 000 BTC restants. 79 956 BTC sont toujours associés à une adresse bien connue commençant par « 1Feex », tandis que les 77 500 BTC volés en septembre 2011 n'ont jamais été tracés. Cette attaque a été si réussie qu'elle n'a été découverte qu'en 2015.
Un autre individu a volé 2 000 BTC en juin 2011, faisant chuter la valeur du bitcoin de 17,50 à 0,01 dollar américain. Un autre pirate a également profité de l'absence du PDG de Mt. Gox, Mark Karpelès, pour dérober plus de la moitié des bitcoins détenus par l'exchange. Le portefeuille se trouvait sur un disque relié à un réseau non crypté. Heureusement pour Karpelès, le pirate a renoncé à son forfait et a négocié une récompense de 1 %, limitant ainsi la perte de l'exchange à 3 000 BTC au lieu de 300 000 BTC.
Pour tous ces incidents, nous ne savons pas avec certitude qui en est responsable, et il est désormais presque certain que nous ne le saurons jamais. Étant donné la similitude des méthodes utilisées, beaucoup soupçonnent que l'attaque via l'adresse 1Feex était une répétition générale de la faille exploitée entre octobre 2011 et janvier 2014, mais cela n'a jamais été prouvé.
Comment les vols ont-ils eu lieu ?
Sur les 881 865 BTC perdus par Mt. Gox, nous ne pouvons expliquer la disparition que de 72 409 BTC. Le système de Mt. Gox comptabilisait 30 000 BTC comme dépôts clients alors que ces fonds avaient déjà été volés par des hackers. En octobre 2011, Mark Karpelès a commis une erreur ayant entraîné l'envoi de 2 609 courriels vers une adresse inexistante. Deux robots opérant sur Mt. Gox, Markus et Willy, ont perdu 22 800 BTC. En juillet 2011, Karpelès a acquis l'exchange polonais Bitomat pour 17 000 BTC.
Pour le reste, les modes d'intrusion sont soit inconnus, soit simplement supposés. Lors du piratage de juin 2011, nous savons que le hacker a pu accéder aux serveurs de Mt. Gox via un compte administrateur. Initialement attribué à l'auditeur Auden McKernan, on a appris plus tard qu'il s'agissait du compte du fondateur Jed McCaleb, qui avait vendu Mt. Gox à Mark Karpelès, lequel conservait étrangement toujours un accès administrateur. On pense que lors de l'attaque 1Feex, le pirate a obtenu les données complètes de la base clients de Mt. Gox ainsi que les 79 956 BTC volés.
Étant donné que les autorités américaines sont suffisamment confiantes pour désigner Verner et Bilyuchenko comme membres du groupe ayant infiltré Mt. Gox en octobre 2011, elles doivent posséder certaines preuves à l'appui. Mais à moins qu'un procès n'ait lieu (ce qui est hautement improbable maintenant que leurs noms sont publics), ces détails risquent de ne jamais être divulgués.
Quelle était la sécurité des bitcoins stockés par Mt. Gox ?
Lié à la question de l'accès aux serveurs de Mt. Gox, comment les pirates ont-ils pu atteindre les fonds censément sécurisés dans des portefeuilles froids ? Nous savons qu'avant l'attaque de juin 2011, Karpelès conservait les bitcoins des utilisateurs de manière aléatoire dans divers portefeuilles physiques et logiciels, aggravant ainsi l'impact du piratage et prolongeant le processus de nettoyage.
Karpelès affirme que cet incident l'a poussé à adopter un système plus sûr : il aurait divisé les bitcoins en plusieurs portefeuilles papier (selon ses dires, impliquant des centaines de feuilles) qu'il aurait stockés dans des coffres-forts bancaires et des boîtes de sûreté disséminés à travers Tokyo. Ainsi, même si le portefeuille chaud était de nouveau compromis, comme dans l'attaque 1Feex, les portefeuilles froids auraient dû rester intacts.
Cela semble suffisamment sûr en théorie, mais lorsque l'on a appris que les portefeuilles froids de l'exchange avaient effectivement été pillés entre octobre 2011 et janvier 2014, de nombreuses personnes ont commencé à poser des questions, y compris Arianna Simpson, alors blogueuse bitcoin et future associée-gérante de la société d'investissement crypto Andreessen Horowitz :
« Si vous faites correctement les choses, un portefeuille de stockage froid ne devrait jamais pouvoir être accédé via un portefeuille chaud, peu importe toute fuite. C'est précisément là tout l'intérêt de séparer les deux. »
Alors comment les portefeuilles froids ont-ils pu être compromise ? Karpelès n’a jamais confirmé publiquement son système personnalisé de portefeuilles chauds et froids, probablement pour éviter des poursuites liées à une mauvaise gestion des fonds, mais ses interviews donnent des indices suggérant un scénario incohérent et parfois illogique.
La seule méthode sécurisée pour recharger un portefeuille chaud à partir de portefeuilles papier consiste à récupérer physiquement chaque papier et à exécuter manuellement une transaction en plusieurs étapes sur un réseau ultra-sécurisé. Cette procédure doit être répétée à chaque fois, ce qui est évidemment totalement irréaliste pour n'importe quel exchange de bitcoins, quelle que soit sa taille ou son volume d'opérations. Aucun employé de Mt. Gox n'a signalé avoir vu Mark Karpelès manipuler des portefeuilles papier. En réalité, plusieurs anciens employés m'ont confié dans le livre *The Ultimate Disaster: How Mt. Gox Lost $5 Billion and Almost Killed Bitcoin* qu'ils n'avaient entendu parler que du portefeuille chaud, jamais du portefeuille froid.
Existe-t-il donc un système permettant de recharger automatiquement le portefeuille chaud lorsque les fonds du portefeuille froid s'épuisent, ou inversement ? Cela semble être la seule manière viable de faire fonctionner un exchange, bien que cela ruine complètement le principe même du stockage froid.
Karpelès savait-il que l'exchange était en faillite ?
Voilà une grande question toujours sujette à débat. Bien sûr, Karpelès affirme qu'il n'a découvert l'effondrement de l'exchange qu'au milieu de février 2014, lorsqu'il a vérifié les portefeuilles froids. Mais cette affirmation est discutable. Mt. Gox rencontrait déjà des problèmes de retrait de bitcoins dès août 2013, ce qui aurait dû alerter. Pourtant, Karpelès ne semblait pas penser que Mt. Gox manquait de fonds, malgré les multiples attaques subies par la plateforme.
Au début 2014, lorsque la vulnérabilité dite de « malléabilité des transactions » est apparue, Karpelès a rapidement imputé les problèmes de retrait à cette faille, alors qu'on sait que même de petits vols nécessitaient d'importantes manipulations sociales. Il a également affirmé ne pas soupçonner de pertes car un système de surveillance était en place. S'il existait un tel système, il était manifestement mal conçu, ce qui témoigne d'une mauvaise gestion de l'exchange.
Sans surprise, beaucoup refusent de croire que Karpelès n'ait découvert la perte qu'en février 2014. D'autres vont plus loin, affirmant qu'il connaissait non seulement la disparition des bitcoins, mais qu'il aurait utilisé les robots Willy et Markus pour combler le déficit. Si tel était son objectif, le résultat fut contre-productif : avant l'effondrement, ces deux programmes avaient perdu 22 800 BTC et 51,6 millions de dollars.
En somme, nous ne pouvons que spéculer sur la manière dont les bitcoins de Mt. Gox étaient protégés — et cela restera ainsi tant que Mark Karpelès ne daignera pas nous le dire.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
CoinDesk
