Le vol de 3094 bitcoins qui a conduit à la création du Trezor

Remontons en 2012; il s’agissait d’une époque beaucoup plus insouciante pour les HODLers de bitcoins. En fait, pour être vraiment précis on ne peut pas vraiment les appeler ainsi puisqu’il faudra encore attendre un an et demi avant que le terme “HODL” ne soit inventé par GameKyuubi, un amateur de whisky adepte du forum  de bitcointalk.

On parle des débuts, quand le prix d’un BTC oscillait entre 4 et 13 dollars sur une année entière. L’amplitude de volatilité qu’on observe aujourd’hui sur quelques secondes correspond à la totalité de la capitalisation du bitcoin de cette époque – et la plupart des utilisateurs n’étaient encore que des cypherpunks, des nerds et des libertariens.

Par conséquent, les gens étaient beaucoup plus détendus en matière de sécurité et n’envisageaient pas tous les vecteurs de menace qui nous rendent aujourd’hui tous si méfiants. La perte de coins était beaucoup plus courante, car même les utilisateurs les plus techniques étaient négligents dans leur utilisation de wallets.

À leur décharge, il faut dire qu’à ce moment là les wallets exigeaient des utilisateurs qu’ils récupèrent les fichiers wallet.dat (qt pour Bitcoin), qu’ils scannent les codes QR des clés privées (pour les portefeuilles mobiles) ou qu’ils saisissent les clés manuellement (difficile à imaginer mais des personnes effectuaient des paiement en saisissant eux même les adresses). Il faudra attendre encore un an et demi avant que ne soit inventé le standard BIP39, qui permet aujourd’hui aux utilisateurs de convertir leurs clés privées en mots mnémoniques tirés d’un dictionnaire.

1er mars 2012 – Les serveurs backup Linode de Slush Pool sont hackés, 3094 BTC disparaissent

Au début de l’année 2012, Marek “Slush” Palatinus dirigeait les opérations de Slush Pool (la première pool de minage au monde, comme l’a reconnu Satoshi lui-même) avec un peu d’aide de Linode la société d’hébergement Cloud. Tout semblait aller pour le mieux jusqu’au 1er mars 2012, quand Slush a reçu un message inattendu du service de surveillance de sa pool – apparemment, sa réserve de bitcoins avait été vidée de manière inattendue.

Après investigation, le cypherpunk tchèque découvrit que deux des serveurs Linode qu’il utilisait pour sauvegarder les données de la pool de minage étaient corrompus – quelqu’un les avait redémarrés et avait changé leurs mots de passe administrateur.

Le problème était dû à une vulnérabilité du logiciel de gestion de Linode – cela n’avait rien à voir avec la sécurité du logiciel Bitcoin ou du protocole de la pool de minage. Il est probable que Bitcoin était en train de devenir un sujet en vogue chez les hackers, car plusieurs autres instances de Linode exécutant bitcoind avaient été ciblées à peu près au même moment.

Au total, 50 000 BTC ont été volés des serveurs Linode le 1er mars 2012 – marquant ainsi le plus grand vol de bitcoins jusqu’à nos jours. Et tout cela est arrivé à cause d’une mise à jour de sécurité qui a été exploitée avec succès par les hackers. Même le faucet bitcoin de Gavin Andresen, qui distribuait gratuitement des BTC, a été affecté par cet événement malheureux… Ah oui parce que si vous l’ignoreriez, il y a eu un moment dans l’histoire où des bitcoins étaient donnés gratuitement juste dans le but d’aider à développer la communauté et créer une économie saine. 

Mais revenons au vol: sur les 50 000 bitcoins perdus ce jour-là, “seulement” 3094 appartenaient à Slush Pool, soit environ 15 312 dollars, le cours du bitcoin étant alors légèrement inférieur à la barre des 5 dollars à ce moment là. Réévalué à la date du 1er Novembre 2021, cette perte s’élève à près de 189 millions de dollars.

Slush décida de couvrir cette perte avec ses propres fonds, afin qu’aucun des participants de la pool ne soit affecté par ce regrettable événement. Cependant, tout cela lui servit de leçon – si dans les faits il avait perdu cet argent qui était le fruit de mois de travail pour Slush Pool, il pris alors la décision de tout mettre en en oeuvre pour qu’un tel incident ne se reproduise plus jamais.

Le cypherpunk tchèque a rapidement compris que le problème ne concernait pas uniquement Linode : cette mésaventure aurait pu arriver à n’importe quel autre service connecté en permanence à Internet, et qui peut donc par conséquent être victime d’une attaque. Et comme l’intérêt pour Bitcoin ne cessait de croitre, il était indispensable de concevoir une meilleure solution pour la gestion des clés privées.

Et le monde fit la connaissance de Trezor : le premier hardware wallet Bitcoin

Après le hack des 3094 BTC, il aura fallu attendre deux ans et demi pour que les adeptes de sécurité Bitcoin puissent mettre la main sur Trezor. Et le prix de base du produit à l’époque s’avère déconcertant pour un bitcoiner d’aujourd’hui : 1 BTC (500 $ environ au moment de son lancement) pour la version standard avec boîtier plastique, et 3 BTC (1500 $ en mai 2014) pour la version avec boîtier métallique.

Pour leur défense, le prix du bitcoin est passé de 118 dollars en mai 2013 à 500 dollars en mai 2014, et a même ensuite dépassé la barre des 1000 dollars fin novembre. Ce n’était donc pas le moment idéal pour utiliser le BTC comme unité de compte (même s’il est vrai que le prix est resté aux alentours de 400 dollars pendant une majeure partie de 2014).

Le parcours qui a mené au lancement du premier hardware wallet au monde est loin d’avoir été un long fleuve tranquille et constitue également à lui seul une sorte d’odyssée. – Slush a fait appel à deux amis afin de créer SatoshiLabs (le collaborateur de Slush Pool et créateur de CoinMap, Pavol “Stick” Rusnak, ainsi qu’une chargée de développement commerciale: Alena Vranova).

Bien qu’ils aient été confrontés à des problèmes aussi bien au niveau de la fabrication que de la distribution, leur apport à cette industrie a été vraiment monumental : un appareil qui gère vos clés privées dans un environnement sécurisé, qui est open source et vérifiable tout autant que peut l’être le code Bitcoin lui-même, et qui effectue des transactions si et seulement si vous appuyez sur un bouton physique qui fait office de confirmation. 

C’est grace au Trezor que les standards BIP 39 et BIP 44 sont devenus si populaires – après sa sortie, de nombreux wallets ont adopté le format de cryptage à 12/24 mots mnémoniques et ont aussi ajouté le support du Bitcoin Testnet. De plus, en raison de la nature open source du Trezor, de nombreux autres hardware wallet ont pu émerger et offrir sur le marché un panel de fonctionnalités supplémentaires présentant divers compromis : le KeepKey, le Coldcard, le BitBox, le Jade ou le Passport, doivent tous leur existence à la conception et au codebase du Trezor.

Et ce n’est pas comme si SatoshiLabs avait cessé d’innover après la sortie du Trezor. La société est à l’origine de la création de plus de 50 standards open source et contribue encore aujourd’hui à de nombreux autres repos open source (NixOS, Bitcoin Core, MicroPython, etc.). Plus récemment, ils ont également décidé de se lancer dans la création de puces à éléments sécurisés véritablement transparentes avec l’entreprise Tropic Square (qui pourrait produire un nouveau hardware wallet Trezor fin 2022).

Il aura “suffit” du piratage d’un serveur backup de Linode et de la perte de 3094 bitcoins associés pour que les fond soient maintenant bien plus sécurisés pour tous leurs détenteurs par effet de ricochet. Il est intéressant d’observer le chemin parcouru en termes de sécurité Bitcoin et de constater que les méthodes de stockage sont devenues de plus en plus sophistiquées au cours des neuf dernières années.

Et la cerise sur le gateau c’est que tout est gratuit et open source : par conséquent des millions de personnes dans le monde peuvent s’atteler à travailler à l’amélioration et au renforcement de la sécurité actuelle, de sorte qu’aucun HODLer n’aura plus jamais à subir la douleur de perdre ses bitcoins à la suite d’un hack. Maintenant, la seule chose qui nous reste à faire c’est d’arriver à trouver la bonne manière pour convaincre nos amis et nos proches de retirer leurs bitcoins des plateformes d’échange et d’adopter une véritable souveraineté financière.

Soutenez Bicoin Takeover

Cet article est la traduction d’un texte original de Vlad Costea

N’hésitez pas à vous inscrire à sa newsletter, suivez le sur YouTube, Twitter ou Instagram et assurez vous de ne pas manquer ses podcasts.

Pour le soutenir financièrement, reportez vous aux instructions dans ses différents posts.

Si vous voulez aussi m’encourager à continuer de publier des articles en français, vous pouvez me lâcher quelques sats ici: bc1qj0z6eu07wydhrgpky6qqsse3sn9yldvalw3rj5