Cette semaine, de nombreux utilisateurs de Binance possédant du Litecoin (LTC) ont été victimes de la première attaque de dépoussiérage de Litecoin, recevant une quantité infime de LTC (0,00000546 LTC) d'une source inconnue. Un incident similaire s'était produit en 2018 pour des détenteurs de Bitcoin.
Alors, en quoi l'accès gratuit à des cryptomonnaies provenant d'inconnus est-il dangereux ? Qu'est-ce qu'une attaque par dépoussiérage et quelle est sa gravité ? Pourquoi se produisent-elles, qui en est à l'origine et comment les éviter ? Dans cet article, nous répondrons à ces questions et à bien d'autres.
Contenu
- Aperçu : Attaque de poussière de Litecoin
- Qu'est-ce que le dépoussiérage ?
- Quel est le but du dépoussiérage ?
- Comment arrêter de dépoussiérer ?
- Comment le dépoussiérage affecte-t-il CoolWallet S ?
Attaque de dépoussiérage de Litecoin sur Binance
L'attaque s'est produite sur l'ensemble du réseau et tous les utilisateurs de Binance avec des adresses Litecoin actives à ce moment-là ont été touchés.
Binance a rapidement identifié le coupable comme étant quelqu'un qui possédait cette adresse Litecoin, qui s'est révélée plus tard être une société de pool minier russe qui voulait faire la publicité de ses services auprès des utilisateurs de Litecoin dans un stratagème marketing qui a lamentablement échoué.
L'auteur de l'attaque par dépoussiérage possède un pool de minage basé en Russie. Il a communiqué avec nous pour annoncer son intention de promouvoir son pool de minage auprès des utilisateurs de Litecoin. Cependant, ni nous ni quiconque ne savons s'il existait d'autres motivations. Le propriétaire du pool n'était pas conscient qu'il soumettait tous ces utilisateurs à une attaque par dépoussiérage et qu'il semait la peur au sein de la communauté Litecoin.
James Jagger, directeur de Binance Academy, dans une interview avec CoinTelegraph
Alors que Binance avait initialement déclaré que seulement 500 utilisateurs étaient concernés, un analyste tiers estime désormais que plus de 300 000 comptes ont été « dépoussiérés ».
L'attaque de poussière Bitcoin de 2018
La même chose s'est produite fin 2018, lorsque des milliers de propriétaires de portefeuilles Bitcoin ont découvert qu'ils avaient reçu 888 Satoshi d'une entité inconnue.
Il a été révélé plus tard que BestMixer, une société de mixage de cryptomonnaies, était à l'origine de cette attaque, dans le cadre d'une campagne publicitaire massive plus rentable et plus efficace en termes de relations publiques que Google Ads. Les médias ont immédiatement qualifié cette opération de nouvelle forme de spam, tandis que des outils de suivi des transactions blockchain AML tels que CipherTrace ont exprimé leurs inquiétudes quant aux véritables intentions des attaquants.
Qu'est-ce qu'une « attaque par dépoussiérage » de cryptomonnaies ?
Une attaque de poussière de cryptomonnaie se produit lorsqu'une partie malveillante non identifiée (escroc ou pirate informatique) envoie une quantité minuscule de cryptomonnaie (généralement du Bitcoin ou les gros altcoins) à des milliers d'adresses de cryptomonnaie publiques différentes afin de révéler la véritable identité des propriétaires de l'adresse.
Les propriétaires de Bitcoin, par exemple, pourraient recevoir la somme stupéfiante de 1 Satoshi, ce qui équivaut à 0,000000001 BTC, sans même le savoir, car la « poussière », une petite quantité de crypto-monnaie s'accumulant souvent dans des comptes liquidés, est généralement automatiquement masquée par les échanges afin de rendre votre portefeuille d'actifs moins encombré.
Binance Academy a réalisé cette excellente vidéo explicative l'année dernière sur les attaques par dépoussiérage :
Le dépoussiérage est une question de rendement. UTXO, bien sûr.
Sans entrer dans trop de détails techniques, le cœur d'une attaque par dépoussiérage constitue un élément cryptographique présent dans les actifs virtuels comme Bitcoin et Litecoin, appelé sortie de transaction non dépensée (UTXO) .
Un UTXO définit une sortie de transaction blockchain qui n'a pas été dépensée, c'est-à-dire utilisée comme entrée dans une nouvelle transaction .
Il s'agit essentiellement d'une signature attachée à une valeur non dépensée, qui fusionne avec d'autres UTXO lors de l'exécution d'une transaction. Un pirate informatique ou un escroc peut localiser des portefeuilles et les associer à un utilisateur en surveillant simplement ces UTXO. Pour en savoir plus, voici un guide complet sur les UTXO.
Le « dépoussiérage » constitue-t-il une menace sérieuse pour la sécurité ?
Bien que le dépoussiérage ne constitue pas une menace aussi directe et immédiate que d'autres arnaques et piratages de cryptomonnaies, il soulève plusieurs signaux d'alarme pour les utilisateurs concernés, car leur identité peut être compromise. Vous devenez ainsi une cible pour les acteurs malveillants qui peuvent tenter de vous arnaquer, de vous pirater ou de recourir au chantage.
Quel est le but d'une « attaque par dépoussiérage » ?
Une attaque par dépoussiérage est très différente des autres piratages et escroqueries tels que le phishing , le cryptojacking (détournement de votre PC pour extraire des cryptomonnaies), les ransomwares et autres tactiques néfastes.
La plupart des piratages et des escroqueries consistent à voler votre investissement en crypto-monnaie ou votre puissance de calcul afin d'exploiter de nouveaux actifs.
En termes simples, le dépoussiérage cryptographique vise à voler votre anonymat . Le ou les attaquants souhaitent relier vos différents comptes afin de déterminer qui est la personne et quels actifs elle possède. Plusieurs raisons peuvent expliquer ce phénomène, notamment :
1. C'est la base d'une tentative d'hameçonnage ou d'extorsion
En déterminant quelles adresses sont liées, les escrocs peuvent relier les points et découvrir l'identité partagée derrière toutes vos différentes adresses cryptographiques.
Une fois qu'ils ont identifié votre identité, vous êtes directement dans leur ligne de mire. Ils peuvent alors vous « marquer » comme cible potentielle d'hameçonnage si vous possédez suffisamment d'actifs de grande valeur (déterminés en explorant les enregistrements blockchain publics sur des outils tels que blockchain.com ). Pour en savoir plus sur les tentatives d'hameçonnage, consultez notre guide sur la façon de les contrer.
2. C'est le gouvernement qui fouine ou qui se laisse berner
Vous avez donc réparti vos bitcoins sur 100 adresses pour tromper l'Oncle Sam à des fins fiscales, pour des idéaux libertaires ou pour des achats sur le darknet ? Pas si vite.
Les cryptomonnaies telles que Bitcoin et Litecoin ne sont pas des monnaies virtuelles purement anonymes ; elles sont par nature pseudonymes . Cela signifie que, même si votre identité réelle n'est pas révélée, vos transactions, la taille de votre portefeuille et d'autres informations sont accessibles à tous sur la blockchain.
Les échanges numériques et certains fournisseurs de portefeuilles ont désormais fait de l'enregistrement Know-Your-Customer (KYC) une procédure standard.
De plus, afin de lutter contre le blanchiment d’argent et le financement du terrorisme, les organismes de surveillance de la lutte contre le blanchiment d’argent (LAB) tels que le Groupe d’action financière (GAFI) et le Réseau de lutte contre la criminalité financière (FinCEN) font désormais de la réglementation des cryptomonnaies une priorité.
La règle de voyage pour la crypto
Ils souhaitent vérifier l'identité réelle des propriétaires d'actifs virtuels et l'objet des transactions. Pour ce faire, ils utilisent la « règle de voyage », initialement introduite dans la loi américaine sur le secret bancaire (BSA) pour les opérations bancaires traditionnelles.
La règle de voyage a été adoptée par le GAFI et incite les pays à réglementer leurs prestataires de services d'actifs virtuels (PSAV). Ces prestataires, comme les plateformes d'échange numériques, doivent désormais partager les informations sur l'émetteur et le bénéficiaire, à l'instar des banques traditionnelles qui utilisent les codes SWIFT.
Le dépoussiérage peut être un excellent outil pour les autorités afin de savoir qui cache quelle cryptomonnaie. Imaginez la poussière comme un colorant violet explosif utilisé par les banques dans leurs sacs à argent pour décourager les vols.
Exemple : Le dépoussiérage est un excellent outil pour le FBI afin de localiser certains comptes potentiellement impliqués et de suivre la piste de l'argent. Ce n'est d'ailleurs pas un hasard si le slogan officieux du FinCEN est « Suivez l'argent ».
D'un autre côté, le dépoussiérage peut également être utilisé pour saboter les opérations de lutte contre le blanchiment d'argent . En contaminant des milliers de portefeuilles, les criminels peuvent entraîner les régulateurs dans une course-poursuite infernale, rendant impossible le suivi des fonds.
Par exemple, alors que la campagne marketing de BestMixer visant à disséminer des bitcoins semblait inoffensive, elle a « infecté » des milliers de portefeuilles avec des cryptomonnaies « mixer ». Cela pourrait placer ces propriétaires de portefeuilles dans la ligne de mire des agences de lutte contre le blanchiment d'argent.
3. C'est un gadget marketing bon marché (ou l'est-il vraiment ?)
Une attaque par saupoudrage peut-elle être complètement inoffensive, de simples particules de bonne volonté cryptographique mêlées à des intentions de partage des richesses ?
Oui, si vous croyez le propriétaire du pool minier russe derrière le fracas du dépoussiérage du Litecoin.
Ils n'étaient pas les premiers à le faire. L'année dernière, la plateforme de publication Steemit a fait de même , en distribuant gratuitement une petite quantité de Steem Dollars (SBD) aux comptes utilisateurs.
James Jagger, chef de projet de la Binance Academy et lanceur d'alerte sur l'attaque de dépoussiérage de Litecoin, a donné plus de détails dans une interview à CoinTelegraph :
Même si ce n'était pas l'intention du propriétaire du pool de minage, il a fourni une base d'analyse aux acteurs malveillants. En effet, la personne responsable de l'attaque par dépoussiérage ne collecte pas nécessairement les données. Elle peut simplement fournir un service permettant à quelqu'un d'autre de collecter et d'analyser toutes les informations ultérieurement.
Comment pouvez-vous arrêter une « attaque de poussière » ?
En bref, pour annuler une attaque, ne dépensez pas la poussière reçue et marquez-la comme « Ne pas dépenser » si possible.
Comme l'a conseillé Samourai Wallet en 2018 :
Si vous avez récemment reçu une très petite quantité de BTC dans votre portefeuille de manière inattendue, vous pourriez être la cible d'une « attaque de dépoussiérage » conçue pour vous désanonymiser en reliant vos entrées entre elles - les utilisateurs de Samourai peuvent marquer cet utxo comme « Ne pas dépenser » pour étouffer l'attaque dans l'œuf. pic.twitter.com/23MLFj4eXQ
– Portefeuille Samourai (@SamouraiWallet) 25 octobre 2018
Vous pouvez également créer des adresses de portefeuille supplémentaires pour les nouvelles transactions. Enfin, si cela reste une préoccupation majeure pour vous, vous pouvez utiliser une technologie d'obfuscation comme un réseau privé virtuel (VPN) pour masquer vos traces.
Comment les utilisateurs de CoolWallet S peuvent-ils éviter les attaques par poussière ?
En bref, c'est impossible. Vous ne pouvez pas empêcher quiconque d'envoyer des cryptomonnaies à votre adresse. Cela ne signifie pas pour autant que la poussière soit forcément nocive pour vous.
CoolWallet S est un portefeuille déterministe hiérarchique (HD) conçu pour offrir un meilleur anonymat aux utilisateurs. Un portefeuille HD crée une adresse publique différente à chaque transaction afin de préserver la confidentialité de l'identité du propriétaire. Ceci est en parfaite adéquation avec les recommandations du livre blanc Bitcoin de Satoshi Nakamoto.
Si vous vous inquiétez de la poussière, de l'anonymat et des problèmes de sécurité que cela peut vous poser, la solution est simple :
Ne combinez pas différentes adresses de portefeuille dans une même transaction.
Par exemple, vous possédez trois adresses de portefeuille BTC sur votre CoolWallet S, chacune contenant 1 BTC (soit un total de 3 BTC) et vous souhaitez transférer 2,5 BTC en une seule transaction. Pour plus de sécurité, il est préférable de transférer ces 2,5 BTC en trois transactions distinctes (1 + 1 + 0,5 BTC) plutôt qu'une seule. Ainsi, vos adresses ne se retrouveront pas dans un seul bloc TX.
Conclusion
Bien que les attaques par dépoussiérage ne constituent pas un problème de sécurité aussi grave ou urgent que d’autres attaques, il s’agit néanmoins d’une attaque qui vise à vous prendre quelque chose en vous donnant autre chose gratuitement.
Un principe économique souvent cité est qu'« il n'y a pas de repas gratuit » (TANSTAAFL). Plus simplement, quand vous étiez enfant, vos parents vous disaient de ne pas accepter de bonbons offerts par des inconnus. Il en va de même pour les cryptomonnaies.
Qu'il s'agisse d'une attaque de dépoussiérage, d'un airdrop ICO ou d'une publication apparemment réelle sur Twitter qui promet de vous offrir des crypto-monnaies gratuites si vous effectuez certaines actions, si cela semble trop beau pour être vrai, c'est généralement le cas.
Tout comme les monnaies fiduciaires, les cryptomonnaies gratuites ne sont presque jamais vraiment « gratuites ». Il y a toujours un prix à payer.
Sur cette note, terminons par une bonne réflexion sur la poussière, comme le fait Will Ferrell dans « Old School ».
Par Werner Vermaak
Avis de non-responsabilité : CoolBitX n'approuve pas et n'est pas responsable du contenu, de l'exactitude, de la qualité ou de tout autre élément de cette page. Il est recommandé aux lecteurs de se renseigner avant toute action.
CoolBitX n'est pas responsable, directement ou indirectement, de tout dommage ou perte causé par ou en relation avec l'utilisation ou la confiance accordée à tout contenu, bien ou service mentionné dans ce guide.
Partager:
CoolWallet S prend désormais en charge les adresses BECH32 pour BTC, LTC et BCH
Témoignage d'utilisateur : « Le portefeuille crypto/Bitcoin mobile sécurisé par excellence » – Panama Crypto