Le développeur de Zengo Wallet adopte une approche inhabituelle pour offrir une prime de détection de failles. Au lieu de proposer de payer des pirates informatiques pour qu'ils découvrent des failles, l'entreprise a placé 10 bitcoins (BTC) (d'une valeur de plus de 430 000 dollars au cours actuel) sur un compte contrôlé par le développeur. Selon une annonce faite le 7 janvier, tout pirate qui parviendra à retirer les bitcoins sera autorisé à les conserver.
La prime sera offerte sur une période de 15 jours, du 9 janvier au 24 janvier au matin. Le 9 janvier, l'adresse du compte sera révélée et contiendra 1 BTC (environ 43 000 $). Le 14 janvier, Zengo ajoutera 4 BTC (172 000 $) au compte et fournira l'un des « facteurs de sécurité » utilisés pour sécuriser le compte. Le 21 janvier, l'équipe ajoutera encore 5 BTC (215 000 $), ce qui portera le montant total détenu dans le portefeuille à 10 BTC (430 000 $). Elle dévoilera également un deuxième facteur de sécurité à ce moment-là. Le portefeuille utilise trois facteurs de sécurité au total.
Après la révélation du deuxième facteur, les pirates auront jusqu'à 16 heures UTC le 24 janvier pour craquer le portefeuille. Si l'un d'entre eux parvient à craquer le portefeuille pendant cette période, il sera autorisé à conserver les 10 BTC.
Zengo prétend être un portefeuille « sans vulnérabilité liée aux mots de passe ». Il n'est pas demandé aux utilisateurs de copier des mots de passe lors de la création d'un compte, et le portefeuille ne stocke aucun fichier de coffre-fort de clés.
Selon son site web officiel, le portefeuille s'appuie sur un réseau de calcul multipartite (MPC) pour signer les transactions. Au lieu de générer une clé privée, le portefeuille crée deux « parts secrètes » distinctes. La première part est stockée sur l'appareil mobile de l'utilisateur et la seconde sur le réseau MPC.
À lire également : Les organisations se tournent vers l'informatique multipartite pour faire progresser le Web3
La part de l'utilisateur est en outre sauvegardée par une méthode d'authentification à trois facteurs (3FA). Pour récupérer sa part, il doit avoir accès à un fichier de sauvegarde crypté sur son compte Google ou Apple et à l'adresse électronique qu'il a utilisée pour créer le compte de portefeuille. En outre, ils doivent subir un balayage facial sur leur appareil mobile, ce qui constitue un troisième facteur cryptographique pour reconstituer leur part.
Selon Zengo, il existe également une méthode de sauvegarde du partage du réseau MPC. L'équipe affirme avoir fourni une « clé de décryptage principale » à un cabinet d'avocats tiers. Si les serveurs du réseau MPC tombent en panne, ce cabinet d'avocats a reçu pour instruction de publier la clé de décryptage dans un répertoire GitHub. L'application passera automatiquement en "mode récupération" si la clé est publiée, ce qui permettra à l'utilisateur de reconstruire le partage du réseau MPC correspondant à son compte. Une fois que l'utilisateur dispose des deux parts, il peut générer une clé privée traditionnelle et l'importer dans une application de portefeuille concurrente, ce qui lui permet de restaurer son compte.
Dans une déclaration à Cointelegraph, Elad Bleistein, directeur marketing de Zengo, a exprimé l'espoir que la prime on-chain contribuera à encourager les discussions autour de la technologie MPC au sein de la communauté crypto. « Des termes compliqués comme MPC ou TSS peuvent être trop abstraits. », a déclaré Bleistein. « Le Zengo Wallet Challenge mettra en évidence les avantages des portefeuilles MPC en termes de sécurité par rapport aux alternatives matérielles traditionnelles, et nous attendons avec impatience une discussion animée avec ceux qui s'impliqueront. »
La sécurité des portefeuilles est devenue une préoccupation croissante dans la communauté crypto au cours de l'année écoulée, une brèche dans Atomic Wallet ayant entraîné des pertes de plus de 100 millions de dollars pour les utilisateurs de cryptomonnaies. Le développeur a par la suite mis en place un programme de primes aux bugs afin de garantir la sécurité de l'application à l'avenir. Les utilisateurs de la bibliothèque de portefeuilles Libbitcoin Explorer ont également signalé des pertes de 900 000 dollars à la suite de piratages en 2023.