Celui qui a tenté l'impossible pour sauver ses cryptos
Pour vivre heureux, vivons cachés. Cette baleine crypto avait oublié cet adage, elle va s'en mordre les doigts.
Bonjour,
Bienvenue pour ce nouvel épisode de Pwned, votre newsletter sur le cybercrime. Ce soir, on commence le récit du hold-up rocambolesque d’un portefeuille crypto. Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.
Vous le savez bien, mais ça vaut le coup de le redire: les internautes sont tellement sans pitié qu’il vaut parfois mieux oublier le coup de la bouteille à la mer. Mais si on est en train de vous voler votre fortune, vous seriez prêt à tout, non? En ce 21 février 2020, c’est sans doute ce que se dit cet utilisateur du forum Reddit. Dans un thread au nom évocateur, “$30M BCH sim hack”, Zhoujianfu tente l’impossible : récupérer les dizaines de millions de dollars en bitcoin cash qu'il vient tout juste de se faire dérober.
Comme on peut le voir ici sur l'explorateur de transactions Blockchair, il y a eu une série d’envois suspects émanant du portefeuille de Zhoujianfu. L'historique de transaction affiche des transferts de 1 600, 26 305, et enfin de 31 566 bitcoins cash, avant que le solde n’arrive à quatre bitcoins cash. Ces transferts ne sont pas le fait du détenteur légitime du portefeuille. Mais tout n’est peut-être pas perdu: ce dernier s'accroche à un mince espoir : “Il n’y a eu que trois confirmations, si des mineurs ou la communauté peut m’aider de quelque façon que ce soit, j’ai les clés privées”, écrit-il. Et de conclure son appel à l’aide par le rappel qu’il y aura, “évidemment”, une grosse récompense.
Qu'est ce que c'est que cette histoire de trois confirmations? Eh bien, l’intérêt des crypto-monnaies est d’inscrire toutes les transactions dans un grand registre public. Ces transactions sont validées par des "mineurs", des machines chargées d'inscrire les nouvelles transactions sur la blockchain. Et pour s’assurer qu’il n’y a pas d’erreur, chaque transaction est rejouée par plusieurs différents mineurs. Comme le précise par exemple la plateforme d’échange Kraken, elle attend avant de créditer les fonds sur un compte une quinzaine de vérifications pour considérer une transaction en bitcoin cash comme validée.
Zhoujianfu vient de voir son compte siphonné. Il assiste, impuissant, à la validation des transactions frauduleuses par des mineurs. Ce qu’il veut dire dans son message sur Reddit, c’est qu’il lui reste une improbable dernière carte, qu’il tente : que les mineurs refusent de valider la transaction pour faire revenir ses cryptos sur son wallet.
En théorie, cela pourrait fonctionner : si une majorité de mineurs décide de rejeter une transaction, celle-ci est simplement ignorée. Malheureusement pour lui, je ne pense pas que les exploitants des fermes de minage aient vraiment le nez collé sur les transactions en cours de validation ou sur les appels à l'aide postés sur Reddit.
L’appel au secours de l’internaute a surtout attiré l’attention sur lui. Zhoujianfu est en effet une “baleine”. Dans le langage crypto, ce terme désigne les personnes qui ont un méga-magot en crypto. Sur Twitter, un internaute a fait les comptes : il y a donc 60 000 jetons de bitcoin cash et environ 1 500 bitcoins qui ont été volés, soit au total environ l’équivalent de 45 millions de dollars. Waouh.
L’identité de Zhoujianfu est vite percée à jour. En fait, derrière ce pseudonyme se cache Josh Jones. Cet américain d'une quarantaine d'années gravite dans le monde de la crypto depuis quelque temps déjà. Comme le racontera deux ans plus tard le journaliste Ethan Lou dans le magazine Toronto Life, son flair est impressionnant. Il a été l’un des premiers à comprendre que le bitcoin avait de l’avenir. En 2012, il a investi massivement dans la crypto-monnaie quand elle était encore largement confidentielle, en achetant pour plus de 250 000 dollars. Huit ans plus tard, c'est un pari qui lui a largement rapporté.
Josh Jones a également lancé une drôle de bourse, Bitcoin Builder. Celle-ci permet de revendre le droit de propriété de bitcoins piégés sur Mt. Gox après la suspension de ses opérations, avant finalement que la plateforme ne s’écroule après avoir admis le vol de 650 000 bitcoins (on en parlera ici un jour). C’est ce qui explique pourquoi Josh Jones détient une telle créance sur Mt. Gox. Et ce qui pourrait aujourd'hui faire de lui un homme immensément riche, vu que la plateforme s’apprête maintenant à redistribuer 141 000 bitcoins à ses anciens clients. Il est enfin l’un des membres du conseil d’administration d’InkTank, une start-up spécialisée dans le stockage open source rachetée 175 millions de dollars par RedHat.
Pourquoi vous raconter tout cela? Eh bien, pour vous montrer que Josh Jones était vraiment une cible intéressante pour un cybercriminel avec ses importants avoirs en crypto. Un CV qui l’a fait changer de banc, au tribunal de l’internet, en passant du statut de victime à celui d’accusé. Plusieurs internautes estiment à l'époque qu’il aurait dû davantage se préoccuper de sa sécurité informatique. Et que c’est donc un peu de sa faute s’il s’est fait détrousser l’équivalent de plusieurs dizaines de millions de dollars. Pas de pitié pour les “baleines”.
Bon, personnellement je trouve malsain ce genre de raisonnement qui inverse les responsabilités. Josh Jones a peut-être été léger dans sa sécurité, mais il n’avait d’évidence rien demandé. Justement, que s’est-il passé ce 21 février 2020? Tout a commencé par un truc bizarre. Son téléphone portable a perdu le réseau. Impossible d’appeler ou d’envoyer un SMS. Bon, les pannes d'opérateur de téléphonie, cela existe.
Mais attendez… Mais si c’était autre chose, quelque chose de bien pire ? Eh oui, Josh Jones a en fait été victime d’un SIM-swapping. Cette technique d’ingénierie sociale dont je vous ai parlé il y a peu consiste à prendre le contrôle d’un numéro de téléphone portable en prétextant, auprès de l’opérateur, avoir un problème avec sa carte sim. Ce genre d’attaque est redoutable si vous pensez avoir sécurisé l’accès à vos comptes par une double authentification reposant sur l’envoi d’un code par SMS.
Comme le rappelle l’entreprise de cybersécurité Sophos, il est facile (en tout cas aux Etats-Unis) de se voir attribuer une nouvelle carte SIM (avec parfois un nouveau téléphone) en baratinant un peu son opérateur. L’envoi de la nouvelle carte SIM va ensuite désactiver automatiquement la carte précédente. Il ne reste plus au pirate qu'à se servir. C’est ce qui est arrivé à Josh Jones. Pendant qu’il gambergeait sur la perte de réseau, un pirate informatique prenait le contrôle de ses comptes en réinitialisant les mots de passe grâce aux sésames envoyés par les SMS de vérification.
Il fallait aller vite et ça s’est joué à pas grand-chose. Quand vers 17h Josh Jones s’est enfin connecté à son wallet crypto, les fonds venaient tout juste de disparaître. Il n’y avait que trois confirmations par des mineurs. En désespoir de cause, il joue donc son va-tout en publiant son message sur Reddit.
Cela n’a pas marché et les millions se sont effectivement envolés. Mais vers où? On en reparle la semaine prochaine,
Bonne soirée,
Relecture: Mnyo
PS: Et si l’histoire vous a plu, vous savez ce qu’il faut faire, vous pouvez liker les publications ou les signaler autour de vous. Si vous voulez enfin me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
The case of the missing $46 million
L’ex-géant Mt Gox va bientôt libérer une partie de ses bitcoins: panique à venir sur le marché?
Red Hat to Acquire Inktank, Provider of Ceph
Crypto Sim Swap Victim Joshua Jones Lost ₿43,768 in Mt. Gox Hack