Coinspect a révélé la faille Ill Bloom, une vulnérabilité affectant les wallets crypto qui a généré des phrases de récupération faibles sur plusieurs blockchains. Des attaquants ont exploité cette faiblesse le 27 mai, vidant 431 wallets pour environ 3,1 millions de dollars.
Coinspect a attribué la faille à un générateur de nombres pseudo-aléatoires non sécurisé utilisé lors de la création de wallets. Cette faiblesse concerne plusieurs blockchains, notamment Bitcoin (BTC), Ethereum (ETH) et Solana (SOL).
Comment la vulnérabilité Ill Bloom compromet les wallets crypto
Selon Coinspect, le générateur défectueux produisait des phrases de récupération avec une solidité cryptographique bien inférieure à celle prévue. Par conséquent, des attaquants peuvent régénérer l’ensemble des phrases possibles et vider n’importe quelle adresse alimentée.
Les chercheurs ont reproduit l’attaque de bout en bout. Ils ont dérivé toutes les adresses que ces phrases faibles pouvaient générer et les ont comparées aux wallets alimentés visibles sur les blockchains publiques. Les adresses concernées remontent à 2018, la plupart étant issues de wallets crypto mobiles peu connus.
Les utilisateurs sont invités à vérifier l’historique de leurs adresses de wallet. Les utilisateurs de hardware wallets ne sont pas concernés. Plus tôt cette année, Binance avait émis une alerte critique iOS à destination des utilisateurs mobiles.
Une attaque coordonnée le 27 mai a vidé 431 wallets
Selon l’analyse de Coinspect, l’ensemble surveillé comptait 2 114 adresses approvisionnées sur Bitcoin, Ethereum, Tron, Rootstock et Polygon. Le 27 mai, les comptes vidés ont transféré leurs soldes vers quelques adresses collectrices communes en l’espace de quelques heures.
Bitcoin a subi la plus forte perte, avec 2,57 millions de dollars, et un seul compte a perdu plus de 1,1 million de dollars. Historiquement, cet ensemble exposé a détenu jusqu’à 12,56 millions de dollars à son pic en avril 2022.
La société considère le montant de 3,1 millions de dollars comme un minimum, car de nouveaux comptes touchés continuent d’être identifiés. Cette attaque s’ajoute aux importantes pertes liées aux vols de crypto cette année, qui avaient déjà dépassé 400 millions de dollars dès le mois de janvier.
Des clés compromises permettent de vider rapidement les fonds, comme l’a montré la récente compromission de clé privée chez Humanity Protocol. Il est intéressant de noter que des incidents précédents tels que Milk Sad provenaient du même type de faiblesse dans la génération de hasards.
Comment les utilisateurs crypto peuvent protéger leurs fonds
Coinspect a publié un outil de vérification permettant de comparer les adresses publiques à la base d’adresses vulnérables connue. Cependant, un résultat négatif ne garantit pas la sécurité car la base de données n’est pas exhaustive.
Les utilisateurs dont l’adresse est touchée doivent créer un nouveau wallet crypto et migrer leurs fonds vers les nouvelles adresses. À l’inverse, importer l’ancienne phrase dans une autre application expose toujours les fonds.
En parallèle, des escrocs exploitent ce type de peur, comme l’a montré le faux airdrop récent sur Hyperliquid. Coinspect insiste sur le fait qu’ils ne demanderont jamais de secrets.
« Nous ne vous demanderons jamais de phrases de récupération, de clés privées, de signatures ou d’approbations, ni ne vous inviterons à envoyer des fonds pour “récupérer” ou protéger un wallet »
Les fournisseurs de wallet continuent de travailler sur des options plus sûres, notamment avec le nouveau standard Clear Signing d’Ethereum. Cependant, il faudra attendre les prochains jours pour savoir quelles applications ont généré ces phrases faibles. D’ici là, transférer ses crypto hors des adresses concernées reste la seule solution fiable.









