Un architecte système a déchiffré une phrase de départ et a remporté une prime de 100 000 Satoshi, soit 0,001 Bitcoin (BTC), d'une valeur de 29 $, en un peu moins d'une demi-heure. Cointelegraph s'est entretenu avec Andrew Fraser à Boston, qui a souligné à quel point il est essentiel de maintenir la phrase de départ d'un portefeuille Bitcoin sécurisée et hors ligne. 

Une phrase de départ ou une phrase de récupération est une chaîne de mots aléatoires générés lors de la création d'un portefeuille et pouvant accéder au portefeuille, semblable à une clé principale. Fraser brute a forcé une phrase de départ de 12 mots que l'éducateur Bitcoin « Wicked Bitcoin » a partagée sur Twitter :

Quelqu'un veut-il essayer de forcer brutalement cette phrase de départ de 12 mots pour obtenir 100 000 sats ? Je vais vous donner les 12 mots, mais sans ordre particulier. Chemin de dérivation standard m/84'/0'/0'... pas d'astuces sophistiquées. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g

— Wicked (@w_s_bitcoin) 26 avril 2023

Comme indiqué, le tweet de Wicked a mis les utilisateurs au défi de déchiffrer l’ordre correct de la phrase de départ de 12 mots.

« Quelqu'un veut-il essayer de forcer brutalement cette phrase de départ de 12 mots pour sécuriser 100 000 sats ? Je vais vous donner les 12 mots, mais sans ordre particulier. Chemin de dérivation standard m/84'/0'/0'... pas d'astuces sophistiquées. GL. »

Il n’a fallu que 25 minutes pour débloquer les 100 000 Satoshis, soit un peu moins de 30 dollars. Cet incident rappelle aux utilisateurs de Bitcoin et aux passionnés de crypto-monnaies qu’il faut prendre la sécurité des crypto-monnaies au sérieux.

Fraser a déchiffré le code à l'aide de BTCrecover, une application logicielle disponible sur GitHub. Le logiciel propose une gamme d'outils permettant de déterminer les phrases de départ avec des mnémoniques manquantes ou brouillées et des utilitaires de craquage de phrases de passe. Sur Twitter, Fraser a déclaré à Cointelegraph :

« Mon GPU de jeu a pu déterminer l'ordre correct de la phrase de départ en environ 25 minutes. Même si un système plus performant le ferait beaucoup plus rapidement. »

Il a noté que toute personne possédant une connaissance de base de l’exécution de scripts Python, de l’utilisation de l’interpréteur de commandes Windows et de la compréhension du protocole Bitcoin, en particulier des mnémoniques BIP39, devrait être en mesure de reproduire son succès.

Cointelegraph a interrogé Fraser sur la sécurité des clés de 12 mots. Fraser a expliqué qu'elles sont « parfaitement sécurisées si les mots restent inconnus d'un attaquant ou s'il existe une phrase de passe « 13e mot de passe » utilisée dans le chemin de dérivation du portefeuille ».

Il a également souligné la sécurité supérieure des clés de 24 mots.

« Même si un attaquant connaissait les mots désordonnés de votre clé de 24 mots, il n'aurait aucun espoir de découvrir la bonne graine. »

Fraser a décomposé les calculs d'entropie pour expliquer la différence de sécurité entre les deux types de clés de départ. Une graine de 12 mots a environ 128 bits d'entropie, tandis qu'une graine de 24 mots en a 256. Lorsqu'un attaquant connaît les mots non ordonnés d'une graine de 12 mots, il n'y a qu'environ un demi-milliard de combinaisons possibles, ce qui est relativement facile à tester avec un GPU décent. Une graine de 24 mots, cependant, a environ 6,24^24 combinaisons possibles, ce qui représente beaucoup de zéros.

Même la probabilité qu'un attaquant parvienne à déchiffrer une phrase de départ de 12 mots est à la limite de l'absurde. Les phrases de départ de 24 mots peuvent être supérieures, mais comme le souligne Wicked dans une analyse post-mortem du défi de la phrase de départ : « Pour être honnête, elle ne sera pas piratée. »

Dans le cas où quelqu'un trouve votre phrase de départ coupée et dans le désordre, alors oui mdr.

— Wicked (@w_s_bitcoin) 27 avril 2023

En fin de compte, il s’agit d’un rappel opportun aux lecteurs de veiller à ce que les phrases de départ ne soient jamais publiées ou partagées en ligne. Cela signifie qu’une phrase de départ ne doit pas être stockée dans un gestionnaire de mots de passe, une solution de stockage dans le cloud, et elle ne doit certainement pas être tapée sur un téléphone.

Fraser a également souligné l'importance de garder secrètes les clés de départ et de tirer parti d'une phrase de passe qui fonctionne dans le cadre du chemin de dérivation. Quant aux 100 000 Sats que Fraser a ramenés chez lui ? Fraser a tweeté qu'il les avait dépensés pour le dîner ce soir-là : du poulet Marsala. Parlons d'économie circulaire.

Magazine Cointelegraph : Bitcoin au Sénégal : pourquoi ce pays africain utilise-t-il le BTC ?