TechFlow, 9 août — Selon un rapport de Cointelegraph daté du 9 août, des chercheurs en sécurité ont découvert un mécanisme d'attaque nommé « Dark Skippy », permettant à des pirates informatiques d'extraire les clés privées de portefeuilles matériels Bitcoin via seulement deux transactions signées. Cette vulnérabilité pourrait affecter tous les modèles de portefeuilles matériels, à condition que l'attaquant parvienne à tromper la victime afin qu'elle télécharge un micrologiciel malveillant.
Le rapport, publié le 5 août par Lloyd Fournier et Nick Farrow, cofondateurs de Frostsnap, ainsi que par Robin Linus, développeur conjoint des protocoles Bitcoin ZeroSync et BitVM, indique que le micrologiciel d'un portefeuille matériel peut être programmé pour intégrer des parties de la phrase de récupération (mnémonique) de l'utilisateur dans des « nombres aléatoires secrets à faible entropie » utilisés lors de la signature des transactions. Lorsque les transactions sont confirmées, les signatures générées sont publiées sur la blockchain, ce qui permet aux attaquants d'analyser la blockchain pour repérer et enregistrer ces signatures.
Des failles dans les portefeuilles Bitcoin ont déjà entraîné de lourdes pertes pour les utilisateurs. En août 2023, SlowMist a signalé le vol de plus de 900 000 dollars de Bitcoin en raison d'une vulnérabilité dans la bibliothèque Libbitcoin Explorer. En novembre, Unciphered a révélé qu'environ 2,1 milliards de dollars de Bitcoin pourraient être exposés à un risque de transfert non autorisé en raison d'une faille dans le logiciel de portefeuille BitcoinJS.




