F2Pool teste la sécurité des clés privées ! 500 Bitcoins ont été volés, 490 ont été emportés.

Le 21 décembre, Wang Chun, co-fondateur de F2Pool (魚池), l'un des plus grands pools de minage de Bitcoin au monde, a révélé sur X une expérience incroyable où il a été volé de 500 BTC. Cela fait suite à l'incident très médiatisé de l'attaque de phishing « 50 millions USDT », Wang Chun a cité un message on-chain envoyé par la victime au hacker et s'est moqué de lui-même, disant que le hacker était très « généreux », ne prenant que 490 BTC et lui laissant 10 BTC pour ses frais de subsistance.

5000 millions USDT attaque de phishing opération absurde

(Source : Wang Chun)

Cet incident qui a conduit Wang Chun à se dévoiler est en soi une catastrophe de sécurité d'une valeur de 50 millions de dollars. Récemment, un énorme baleinier/institution a retiré 50 millions de USDT de Binance et a d'abord “testé” en transférant 50 USDT à l'adresse de réception prévue. En conséquence, l'attaquant a rapidement généré une adresse similaire avec les trois premiers et derniers chiffres identiques et a transféré 0,005 USDT de jetons poussières à la victime.

La victime, lors du transfert formel, a apparemment copié l'adresse directement à partir des enregistrements de transactions récents, entraînant le transfert total de 50 millions USDT vers une adresse similaire appartenant à l'attaquant. Cette technique d'attaque est appelée « empoisonnement d'adresse » (Address Poisoning), exploitant l'habitude des utilisateurs de copier des adresses à partir des enregistrements de transactions pour implanter une adresse similaire et induire en erreur.

Après l'incident d'attaque, la victime a envoyé un message off-chain aux hackers : « Nous avons officiellement déposé une plainte pénale. Avec l'aide des autorités judiciaires, des agences de cybersécurité et de plusieurs protocoles de blockchain, nous avons collecté une quantité substantielle et précise d'informations sur vos activités. L'adresse de portefeuille que vous contrôlez est actuellement sous surveillance 24 heures sur 24. C'est votre dernière chance de résoudre cette affaire à l'amiable. Vous êtes prié de restituer 98 % des actifs volés dans un délai de 48 heures, vous pouvez conserver 1 000 000 USD comme 'prime de hacker éthique' pour avoir découvert la faille.

Cette stratégie de négociation « d'abord la courtoisie, ensuite la force » est très courante dans le cercle des cryptomonnaies. Les victimes essaient généralement d'abord de négocier avec les hackers, en offrant une récompense pour les hackers éthiques en échange du retour des actifs, car il est extrêmement difficile de récupérer des cryptomonnaies volées. Si les hackers refusent, elles tentent ensuite de les traquer via les agences d'application de la loi et les sociétés d'analyse de blockchain, mais le taux de réussite demeure très faible.

Les trois étapes de l'attaque par empoisonnement d'adresse

Première étape, générer des adresses similaires : L'attaquant utilise un outil pour générer des adresses dont les premiers et derniers chiffres sont identiques à ceux de l'adresse cible, leur apparence étant extrêmement similaire.

Deuxième étape, envoi de jetons de poussière : Envoyer un montant très faible (comme 0,005 USDT) à l'adresse de la victime, afin que des adresses similaires apparaissent dans l'historique des transactions.

Troisième étape, incitation à l'erreur : Lorsque la victime copie l'adresse à partir des enregistrements de transaction, elle peut copier par erreur une adresse similaire, entraînant un transfert de fonds important vers le portefeuille de l'attaquant.

La méthode de défense contre ce type d'attaque est extrêmement simple : vérifier soigneusement l'adresse complète à chaque transfert, au lieu de se contenter de regarder les premiers et les derniers caractères. Cependant, la paresse et les habitudes humaines font que cette simple erreur se produit de manière répétée. Lorsque le montant du transfert atteint 50 millions de dollars, le coût de cette négligence est catastrophique.

Wang Chun 500 jetons BTC test de la logique absurde

Alors que la communauté pleure les victimes de 50 millions USDT, la révélation de Wang Chun, co-fondateur de F2Pool, a complètement choqué tout le monde. « L'année dernière, je soupçonnais que ma clé privée avait été compromise. Pour vérifier si cette adresse était réellement en danger, j'ai transféré 500 Bitcoins dessus. » L'absurdité de cette opération réside dans le fait que, bien qu'il soupçonnât une fuite de sa clé privée, une personne normale aurait dû immédiatement cesser d'utiliser cette adresse et transférer tous ses actifs, mais Wang Chun a inversé la situation en transférant une grosse somme pour “tester”.

Cette logique ressemble à : au lieu de se dépêcher de réparer la serrure si l'on soupçonne qu'elle est cassée, on préfère laisser une grande quantité d'argent liquide à la maison pour voir s'il sera volé. Si cela est effectivement volé, non seulement cela prouve que la serrure est cassée, mais cela entraîne également une perte de biens. La méthode de test de Wang Chun est totalement incompréhensible aux yeux des experts en sécurité, car elle transforme le doute en certitude et les pertes potentielles en pertes réelles.

Ce qui m'a surpris, c'est que le hacker s'est montré très “généreux”, ne prenant que 490 jetons et me laissant 10 jetons Bitcoin comme frais de subsistance. Le ton sarcastique de Wang Chun est encore plus stupéfiant. 490 jetons Bitcoin valaient environ 24,5 millions de dollars à l'époque (février 2024), et 10 jetons environ 500 000 dollars. Pour une personne ordinaire, 500 000 dollars peuvent changer une vie, mais pour Wang Chun, ce n'est qu'un “frais de subsistance”.

Concernant l'adresse du hacker fournie par Wang Chun 14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79, après avoir suivi les historiques, il a été découvert qu'il y avait effectivement des enregistrements de transfert pertinents le 12 février 2024. Cela confirme que les dires de Wang Chun ne sont pas fictifs, il ne s'agit pas d'une histoire inventée, mais d'une véritable perte massive. Cependant, Wang Chun lui-même n'a pas donné plus d'explications sur cette affaire, n'a pas révélé comment il soupçonnait une fuite de clé privée, n'a pas indiqué s'il avait porté plainte pour enquête, et n'a pas non plus expliqué pourquoi il avait choisi une méthode de test aussi absurde.

Le monde des riches et les leçons douloureuses de la sécurité des clés privées

L'auto-révélation légère et sans souci de Wang Chunyun a conduit tous les membres de la communauté à s'exclamer : « Le monde des riches n'est vraiment pas quelque chose que les gens ordinaires peuvent comprendre. » F2Pool, en tant que l'un des plus grands pools de minage de Bitcoin au monde, a effectivement accumulé une richesse qui dépasse l'imagination des gens ordinaires. Mais cette attitude de « perdre 25 millions de dollars et continuer à plaisanter » est à la fois une source d'envie et un avertissement pour les investisseurs ordinaires.

Ce qui est enviable, c'est le niveau de liberté financière. Lorsque la richesse que vous possédez dépasse de loin vos besoins de vie, une perte de 25 millions de dollars, bien que douloureuse, n'est pas mortelle. Wang Chun peut rester si calme, ce qui indique que sa richesse totale pourrait dépasser plusieurs centaines de millions de dollars, et la perte de 490 BTC n'est qu'une petite partie de ses actifs. Cette liberté financière lui permet de supporter des risques et des pertes que les gens ordinaires ne peuvent même pas imaginer.

L'avertissement concerne la brutalité de la sécurité des clés privées. « Not your keys, not your coins » (les clés privées ne sont pas en main, les jetons ne vous appartiennent pas) est une règle d'or dans le monde des cryptomonnaies. Une fois que la clé privée est divulguée, que vous soyez milliardaire ou investisseur ordinaire, vos actifs peuvent instantanément tomber à zéro. Ce qui est encore plus effrayant, c'est que les transferts de cryptomonnaies sont irréversibles, aucune banque ne peut geler, aucun tribunal ne peut récupérer, et il est presque impossible de récupérer ce que les hackers ont pris.

Le cas de Wang Chun révèle plusieurs leçons clés. Premièrement, en cas de doute sur une éventuelle fuite de clé privée, la bonne pratique consiste à désactiver immédiatement cette adresse et à transférer les actifs vers une nouvelle adresse, plutôt que de procéder à un test avec un montant important. Deuxièmement, la gestion des clés privées doit utiliser des mesures de sécurité telles que des signatures multiples, des portefeuilles matériels et la séparation des environnements froids et chauds, car le risque associé à une clé privée unique est trop élevé. Troisièmement, même les meilleurs experts du secteur comme F2Pool peuvent commettre des erreurs fatales en matière de sécurité, personne ne peut se permettre d'être négligent.

Pour les investisseurs ordinaires, cette histoire offre des leçons extrêmement précieuses mais coûteuses. En cas de doute sur une éventuelle fuite de clé privée, il convient immédiatement de : cesser d'utiliser cette adresse, transférer les actifs vers une nouvelle adresse (tester avec un petit montant avant de transférer des sommes plus importantes), vérifier tous les moyens possibles de fuite (virus informatique, sites de phishing, ingénierie sociale), envisager de porter plainte et de demander l'aide d'une société de sécurité professionnelle. Ne jamais agir comme Wang Chun en transférant activement une grosse somme pour “tester”, car vous n'avez peut-être pas les moyens de supporter une perte aussi importante.

Le comportement « généreux » du hacker de laisser 10 BTC mérite également d'être analysé. Cela pourrait être une tactique psychologique du hacker : vider complètement pourrait irriter la victime qui poursuivrait sans compter, mais laisser un peu de « frais de subsistance » pourrait amener la victime à choisir d'accepter la situation. Pour Wang Chun, qui possède des actifs de plusieurs millions, perdre 490 BTC, bien que douloureux, ne vaut pas la peine de consacrer beaucoup de temps et d'énergie à la poursuite. Le hacker a parfaitement saisi cette psychologie, emportant la grande majorité des actifs tout en réduisant le risque d'être poursuivi de manière intensive.

Cet incident contraste avec l'attaque de phishing de 50 millions USDT. Dans le premier cas, la victime a imprudemment copié une adresse erronée, tandis que dans le second, la victime a volontairement effectué un transfert en connaissance des risques. Le point commun entre les deux est : l'erreur humaine est la principale cause de la perte d'actifs cryptographiques, bien au-delà des piratages d'échanges ou des failles de contrats intelligents. Peu importe à quel point la technologie est avancée, elle ne peut pas prévenir la négligence et la psychologie de la chance humaine.

Pour l'industrie de la cryptomonnaie, ces cas avertissent tous les participants : la sécurité des clés privées est une compétence fondamentale qui peut s'avérer vitale. Que vous soyez un investisseur particulier détenant 0,1 BTC ou une baleine possédant 500 BTC, une fois que la clé privée est divulguée ou que l'adresse est mal saisie, les conséquences sont irréversibles. Dans ce monde où « le code est la loi », il n'y a pas de remède aux regrets, la seule protection est de vérifier plusieurs fois avant chaque opération, d'être plus sceptique et de faire preuve de plus de prudence. Les 25 millions de dollars de Wang Chun ont servi de leçon coûteuse mais profonde sur la sécurité pour toute l'industrie.