- John Cantrell a publié un article montrant comment il a piraté une adresse Bitcoin pour gagner 1 BTC.
- Le piratage faisait partie d’un concours organisé par le DSI d’Altana Digital.
Dans un article sur Medium, le développeur John Cantrell a révélé comment il a piraté une adresse Bitcoin pour obtenir une récompense. Dans le cadre d’un concours organisé par le DSI d’Altana Digital, Alistair Milne, Cantrell a mis 30 heures pour trouver environ 1,1 trillion de phrases mnémoniques possibles pour 4 mots après déjà 8 mots donnés par Milne. L’adresse doit être saisie avec la phrase de base de 12 mots.
Milne a lancé le concours en mai et a progressivement publié des avis par le biais de ses comptes de médias sociaux. Ainsi, les participants ont été invités à deviner les mots d’une graine de 12 mots qui protégeait les Bitcoins. Selon M. Milne, les derniers indices sur les 4 mots devraient être affichés simultanément pour empêcher quiconque de les deviner. Mais la performance de Cantrell a montré qu’il n’en fallait que huit. Bien que, comme l’a dit le promoteur, cela ait demandé des efforts considérables.
Comment craquer une adresse Bitcoin ?
Afin de pouvoir deviner les mots restants et gagner les Bitcoins, le développeur a d’abord écrit un programme pour mesurer le temps, la puissance estimée de l’ordinateur et la possibilité réelle de deviner les 4 mots restants, comme l’a expliqué M. Cantrell :
La stratégie que j’allais utiliser consistait à calculer un nombre de début et un nombre de fin, entre lesquels je devais itérer sur la base d’un ensemble de mots d’entrée connus. Pour chaque numéro, je calculerais l’adresse correspondant à ce numéro et vérifierais ensuite s’il s’agit de l’adresse avec le 1 BTC. Si c’était l’adresse, je créerais et signerais alors une transaction pour envoyer l’argent à un portefeuille que je contrôle.
Mais selon les estimations du promoteur, il lui aurait fallu 25 ans pour deviner les 4 mots. Il a donc dû louer une machine plus puissante : une machine à 32 cœurs optimisée pour le CPU de Digital Ocean. Cela lui a permis de vérifier 8 000 possibilités par seconde.
Cependant, cela n’était pas encore suffisant et aurait pris trop de temps et une puissance de traitement mille fois supérieure pour être le premier à deviner les quatre mots. Il a donc loué une douzaine de cartes graphiques sur un marché de GPU et loué 40 GPU du réseau Azure de Microsoft. Au total, il a dépensé environ 500 dollars pour obtenir plus de puissance de calcul. Le résultat a été le suivant :
À son apogée, je testais environ 40 milliards de phrases mnémoniques par heure. Cela signifie que le test des mille milliards de mnémoniques aurait pris environ 25 heures. Je savais que cela ne devrait prendre en moyenne que 50% de ce temps (selon le 9ème mot).
Après plusieurs heures sans résultat, le développeur a commencé à s’inquiéter. Pendant un moment, il a perdu espoir et était sur le point d’éteindre les ordinateurs pour essayer une nouvelle version, mais après avoir essayé 91% des possibilités, il a trouvé la solution.
Avec les quatre mots restants, il a pu accéder au portefeuille. Craignant que quelqu’un ne tente d’empêcher la transaction, il a fixé une taxe élevée de 0,01 BTC pour accélérer la validation. Quelques minutes plus tard, sa transaction a été validée et incluse dans un bloc. Les Bitcoins lui appartenaient irrévocablement. En réponse à la question d’un paroissien, M. Cantrell a répondu qu’en utilisant le même mécanisme, il lui aurait fallu 309 485 009 821 345 068 724 781 056 jours pour deviner les 12 mots de toute la graine pour avoir accès à l’adresse.
