Un architecte système a déchiffré une phrase de démarrage et a gagné une prime de 100 000 Satoshi, soit 0,001 bitcoin (BTC), d'une valeur de 29 dollars, en un peu moins d'une demi-heure. Cointelegraph s'est entretenu avec Andrew Fraser à Boston, qui a souligné à quel point il est essentiel de garder la phrase de démarrage d'un portefeuille Bitcoin sécurisée et hors ligne.

Une phrase de démarrage ou de récupération est une chaîne de mots aléatoires générée lors de la création d'un portefeuille et qui permet d'accéder à ce dernier, à l'instar d'une clé principale. Fraser a procédé à un déverrouillage brutal d'une phrase de démarrage de 12 mots que l'éducateur Bitcoin "Wicked Bitcoin" a partagée sur Twitter :

Quelqu'un veut essayer de forcer cette phrase de démarrage de 12 mots pour gagner 100 000 Sats ? Je vais vous donner les 12 mots, sans ordre particulier. Chemin de dérivation standard m/84'/0'/0'... pas d'artifices. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g- Wicked (@w_s_bitcoin) 26 avril 2023

Comme on peut le voir, le tweet de Wicked mettait les utilisateurs au défi de déchiffrer l'ordre correct des 12 mots de la phrase de démarrage.

« Quelqu'un veut essayer de forcer cette phrase de démarrage de 12 mots pour gagner 100 000 Sats ? Je vais vous donner les 12 mots, sans ordre particulier. Chemin de dérivation standard m/84'/0'/0'... pas d'artifices. GL. »

Il n'a fallu que 25 minutes pour débloquer les 100 000 satoshis, d'une valeur d'un peu moins de 30 dollars. Cet incident rappelle opportunément aux utilisateurs de bitcoins et aux amateurs de cryptomonnaies qu'ils doivent prendre la sécurité des cryptomonnaies au sérieux.

Fraser a déchiffré le code en utilisant BTCrecover, un logiciel disponible sur GitHub. Le logiciel offre une gamme d'outils qui peuvent déterminer des phrases de démarrage avec des mnémoniques manquants ou brouillés et des utilitaires de décryptage de phrases de protection. Par le biais de messages directs sur Twitter, M. Fraser a déclaré à Cointelegraph :

« Mon GPU de jeu a été capable de déterminer l'ordre correct de la phrase de démarrage en 25 minutes environ. Un système plus performant y parviendrait beaucoup plus rapidement. »

Il a ajouté que toute personne ayant des connaissances de base en matière d'exécution de scripts Python, d'utilisation de l'interpréteur de commandes Windows et de compréhension du protocole Bitcoin - en particulier des mnémoniques BIP39 - devrait être en mesure de reproduire son succès.

Cointelegraph a interrogé M. Fraser sur la sécurité des clés de démarrage de 12 mots. M. Fraser a expliqué qu'elles sont « parfaitement sûres si les mots restent inconnus d'un pirate ou s'il existe une phrase de sécurité '13e mot de démarrage' utilisée dans le chemin de dérivation du portefeuille ».

En outre, il a souligné la sécurité supérieure des clés de démarrage à 24 mots.

« Même si un pirate connaissait les mots en désordre de votre clé de démarrage de 24 mots, il n'aurait aucune chance de découvrir la bonne clé de démarrage. »

M. Fraser a décomposé les calculs d'entropie pour expliquer la différence de sécurité entre les deux types de clés de démarrage. Une chaîne de 12 mots a une entropie d'environ 128 bits, tandis qu'une chaîne de 24 mots a une entropie de 256 bits. Lorsqu'un pirate connaît les mots non ordonnés d'une clé de 12 mots, il n'y a qu'un demi-milliard de combinaisons possibles, ce qui est relativement facile à tester avec un GPU digne de ce nom. Une série de 24 mots, en revanche, offre environ 6,24^24 combinaisons possibles, ce qui représente beaucoup de zéros.

À lire également : Les pires endroits où conserver la phrase de démarrage de votre portefeuille de cryptomonnaies

Même la probabilité qu'un pirate parvienne à déchiffrer une phrase de démarrage de 12 mots est à la limite de l'absurde. Une phrase de 24 mots peut être supérieure, mais comme le souligne Wicked dans un post-mortem sur le défi de la phrase de démarrage, « elle ne sera pas piratée ».

Dans le cas où quelqu'un trouverait votre phrase de démarrage coupée et dans le désordre, alors oui lol.- Wicked (@w_s_bitcoin) 27 avril 2023

En fin de compte, il s'agit d'un rappel opportun aux lecteurs de s'assurer que les phrases de démarrage ne sont jamais publiées ou partagées en ligne. Cela signifie qu'elles ne doivent pas être stockées dans un gestionnaire de mots de passe ou une solution de stockage sur le cloud, et qu'elles ne doivent certainement pas être tapées sur un téléphone.

M. Fraser a également souligné l'importance de garder secrètes les clés de démarrage et de tirer parti d'une phrase de démarrage qui fait partie du chemin de dérivation. Quant aux 100 000 sats que Fraser a ramenés chez lui ? Fraser a tweeté qu'il les avait dépensés pour le dîner de ce soir-là : du poulet marsala. C'est ce qu'on appelle l'économie circulaire.