Fin de semaine dernière, il a été découvert que le portefeuille MyDashWallet développé indépendamment a été compromis par un hacker qui a pu envoyer les clés privées des utilisateurs vers un serveur externe. Quand la faille a été découverte, le Dash Core Group a aidé le développeur à corriger ce problème.
[tweet https://twitter.com/Dashpay/status/1149800258399961088 align=’left’]
Le hack fut possible grâce à l’utilisation de la dernière version du code d’un autre projet dont il dépendait et qui a été compromis. Par prudence, toute personne ayant utilisé MyDashWallet entre le 13 mai 2019 et le 12 juin 2019 doit présumer que ses clés privées sont connues et déplacer ses fonds immédiatement.
“En avril 2018, MyDashWallet a été modifié pour charger un script externe depuis le site d’hébergement GreasyFork. Bien que cela ne soit pas une pratique inhabituelle, cela n’est pas considéré comme une pratique sûre, surtout depuis que la référence a chargé la dernière version du script, plutôt qu’une version spécifique. Le 13 mai 2019, un hacker a compromis le compte GreasyFork de l’auteur original du script, Jixun Moe, et a ajouté du code pour envoyer les clés privées des utilisateurs vers un serveur externe. Ce changement a été détecté le 12 juillet 2019 lorsque le hacker a utilisé les clés privées pour déplacer les fonds des utilisateurs. MyDashWallet n’est pas maintenu par le Dash Core Group, et à aucun moment le réseau Dash lui-même n’a été compromis.”
Comme le soulignait Philipp Engelhorn, assisté de Leon White, dans le forum Dash, “la pratique de développement non sécurisée mise en œuvre par MyDashWallet n’a pas été détectée depuis plus d’un an en raison d’une révision insuffisante du code par des tiers”. A l’avenir, il a insisté sur le fait que “tout le code manipulant des clés privées, devrait être examiné minutieusement avant de le laisser manipuler des fonds d’utilisateurs” et que “l’utilisation de fichiers locaux qui stockent des clés, les ‘Keystore’, devraient être découragé en faveur des portefeuilles physiques, similaires aux meilleures pratiques mises en œuvre par MyEtherWallet”.
Comment le Dash Core Group prévient les utilisateurs et aide à atténuer la situation
Premièrement, le Dash Core Group contribue à atténuer le risque des failles de son propre code en s’assurant que “tous les logiciels qu’il publie sont, à la fois open source et, soumis à des tests qualité rigoureux avant leur sortie”.
Pour les projets open source, les failles dans les logiciels tiers constituent un risque important puisque chacun est libre d’utiliser le code et d’implémenter ses propres variations et applications. Cependant, les logiciels open source ont l’avantage que ces failles peuvent être trouvées par des particuliers et le code peut donc évoluer. Ce n’est pas le cas pour du code privé puisqu’il ne sera jamais rendu public et donc moins de gens pourront trouver les failles potentielles.
Deuxièmement, selon Michael Seitz sur forum Dash, le Dash Core Group “aide le développeur à résoudre ce problème et collecte les informations pertinentes à fournir aux services de l’ordre “. C’est un signe positif que même si la vulnérabilité n’est pas liée à eux ou à la blockchain Dash, ils s’assurent que les applications liées à Dash et que les membres de la communauté restent en sécurité en aidant à résoudre les problèmes qui surviennent. C’est aussi un avantage qui est également considéré comme une raison pour laquelle les commerçants et les échanges tiers aiment intégrer Dash ; ils ont le Dash Core Group comme personnes physiques sur lesquelles se reposer et poser des questions.
Les systèmes décentralisés exigent un haut degré de sensibilisation des utilisateurs
La cryptomonnaie a été créée pour être open source et décentralisée autrement dit sans qu’il n’y ait une seule personne ou un seul groupe responsable. Si cela contribue indéniablement un accès sans permission au réseau, cela permet aussi de développer et d’utiliser des produits tiers, parfois sans avoir recours à des tests rigoureux. N’importe quel utilisateur peut utiliser un logiciel fiable et solide, mais il peut aussi être la proie de services mal construits ou même d’escroqueries ou d’autres applications malveillantes. Par conséquent, les utilisateurs qui recherchent la décentralisation et les avantages associés à l’utilisation de la cryptomonnaie, devraient également assumer l’entière responsabilité des risques associés à l’utilisation de systèmes potentiellement non testés, et prendre des précautions supplémentaires pour protéger leur sécurité et leurs fonds.
