C’est une surprise de fin d’année dont on souhaiterait se passer. Le 26 décembre, plusieurs utilisateurs de la plate-forme BitKeep ont vu leurs portefeuilles se vider sans plus d’explication. Rappelons que BitKeep est un « wallet », un logiciel qui permet de placer ses cryptos directement dans la blockchain et pas sur des plates-formes parfois gérées n’importe comment par des « crypto bros » qui se prennent pour Elon Musk. Un système sûr donc ? Pas vraiment puisqu’un pirate a réussi à placer une appli BitKeep corrompue directement sur le site officiel de la société !
L’APK officielle contaminée ?
Sur le Telegram de la société, l’information tombe : des pirates ont réussi à détourner les transferts grâce à cette APK corrompue, installée en toute bonne foi par certains membres.
Annonce“Une APK altérée [de l’application] a mené à la fuite de clés privées de certains utilisateurs, permettant aux hackers le transfert de fonds”
Kevin Como, CEO de BitKeep
D’après les experts, la perte est estimée à plus de 9 millions de dollars pour l’instant. On retrouve, entre autres, dans les valeurs détournées, de l’Ethereum, mais aussi du DAI ou du BNB. La brèche concerne la version 7.2.9 de la version Android de l’application. Les versions accessibles depuis les stores Google et Apple ne sont pas touchées. Rappelons qu’installer un APK n’est pas sans risque, mais nous sommes quand même censés faire confiance à l’éditeur lorsque celui-ci met une application à disposition sur son site officiel !
BitKeep annonce des mesures
En réaction à l’attaque, les équipes de l’application ont demandé aux utilisateurs de transférer tous leurs fonds vers des plates-formes sécurisées, téléchargées depuis les stores officiels. Il a aussi été demandé aux membres de modifier leurs adresses de portefeuilles ou d’en générer un nouveau. Enfin, une mise à jour de sécurité a été déployée par les équipes de BitKeep. Mais comment diable une APK vérolée a-t-elle pu se retrouver sur le site officiel ?
AnnonceBitKeep CEO Kevin: The whole team and I are pulling all strings we can and going to great lengths to recover the stolen assets. And for the loss in this incident, I assure you that we will give you a satisfying solution.
➡️https://t.co/KHUG8enG3I pic.twitter.com/jzzIKajdSh
— Bitget Wallet 🩵 (@BitgetWallet) December 28, 2022
Car ce n’est pas la première fois que BitKeep subit une attaque. En octobre 2022, un incident avait déjà mis à mal BitKeep Swap, avec une perte estimée à plus d’un million de dollars. Sale temps pour les gestionnaires de wallets, qui semblent devenir la cible privilégiée des pirates. Il faut dire que si de plus en plus de personnes s’intéressent aux cryptomonnaies, peu sont formés à la sécurité. Prudence donc dans l’hébergement de vos cryptos ! Pour nous, la solution la plus sécurisée reste les « cold wallets » Ledger. Et en plus c’est français…
