La cybersécurité vieille de plusieurs années est vulnérable dans Blockfolio

La cybersécurité vieille de plusieurs années est vulnérable dans Blockfolio

Crypto monnaie ripple

Au 22 avril, environ 5 400 crypto-monnaies étaient négociées pour une valeur de marché de 201 milliards de dollars américains. Le volume des transactions quotidiennes sur 24 heures a récemment oscillé autour de 100 milliards de dollars, un indicateur clé de la croissance continue du secteur et de la participation active des investisseurs.

C’est un fait bien connu que les crypto-monnaies sont parmi les actifs les plus capricieux disponibles, ce qui rend pratiquement impossible de surveiller leurs fluctuations sur une base continue. Heureusement, nous avons vu un certain nombre de trackers de portefeuille de crypto-monnaie développés et acceptés sur le marché depuis 2017.

Les portefeuilles de crypto-monnaie représentent tout ensemble d’investissements détenus par les traders à travers les différents types d’actifs cryptographiques. Par exemple, si un investisseur possède 10 jetons ou coins, ceux-ci représentent collectivement leurs portefeuilles d’investissement. Le portefeuille reflète le style du trader / investisseur, sa tolérance au risque et les éléments clés de sa stratégie de marché.

La montée en puissance de Blockfolio

Ian Balina – l’entrepreneur blockchain, investisseur, analyste et PDG de Tokenmetrics qui a été très bruyant sur l’impact économique de la pandémie COVID-19 sur le secteur des crypto-monnaies – a rendu Blockfolio célèbre en 2017 lorsqu’il a publié ses impressionnantes captures d’écran Blockfolio sur Instagram. Balina croit fermement à l’utilisation des crypto-monnaies dans un contexte commercial.

L’application Blockfolio fait partie des plates-formes de suivi les plus anciennes et peut faire partie de vos outils logiciels de comptabilité personnelle, dont la plupart aujourd’hui connectent vos comptes bancaires via une interface de programmation d’application, ou API, synchronisent vos dépenses et vous préparent pour le temps des impôts. Il permet à l’utilisateur d’entrer un assortiment de crypto-monnaies ainsi que la possibilité d’ajouter le prix pour lequel il a été initialement acheté et / ou vendu. L’interface utilisateur attrayante, associée à son utilisation par un certain nombre d’influenceurs de premier plan, a fait de Blockfolio l’une des applications de crypto-monnaie les plus téléchargées en 2017.

Au cours des derniers mois, Blockfolio a également lancé une fonctionnalité appelée «Signal Blockfolio» – une fonctionnalité qui, selon lui, servira de plate-forme de communication principale au sein de l’application. Cette fonctionnalité offre des notifications supplémentaires des équipes derrière chacun des actifs que vous détenez ou que vous souhaitez ajouter à votre portefeuille.

Une autre caractéristique est sa capacité à mettre en place plusieurs portefeuilles, ce qui peut être extrêmement utile en ce qui concerne la catégorisation de vos investissements et leur suivi individuel.

Blockfolio prend actuellement en charge Binance, Bitfinex, Bittrex, Coinbase et Coinbase Pro, OKEx et Poloniex et a récemment donné à ses utilisateurs la possibilité d’importer leurs portefeuilles de cryptographie existants dans le logiciel automatisé de TokenTax afin de devancer la prochaine saison fiscale. Blockfolio est également totalement gratuit à utiliser, mais le fondateur de Blockfolio a déclaré dans une récente déclaration qu’il envisageait de monétiser l’application dans un proche avenir autour de la fonctionnalité Blockfolio Signal.

La plateforme Blockfolio compte plus de 5 millions d’utilisateurs actifs qui l’utilisent pour gérer leurs portefeuilles. Il y a plus de 400 équipes sur Blockfolio Signal, qui comprennent des membres de l’équipe et des représentants de Monero (XMR), Dash, NEO, Ether (ETH), NEM, Zcash (ZEC) et similaires. De plus, Blockfolio prend en charge plus de 8000 actifs cryptographiques et collecte en continu des données à partir de plus de 300 échanges afin de rester à jour avec les mises à jour de prix ou de marché.

En savoir plus sur la vulnérabilité Blockfolio

Une vulnérabilité de sécurité majeure a été découverte récemment dans le code source de Blockfolio. La vulnérabilité, qui apparaissait dans les versions précédentes de l’application, aurait permis à un pirate de voler du code source fermé et éventuellement de manipuler les données en introduisant leur propre code dans le référentiel GitHub de Blockfolio et éventuellement dans l’application elle-même.

Après avoir évalué la sécurité des plateformes de crypto-monnaie qu’il a utilisées, Paul Litvak – un chercheur en sécurité de la firme de cybersécurité Intezer – a découvert la faiblesse. Litvak s’intéresse aux crypto-monnaies depuis 2017, date à laquelle il a développé des robots de trading, et Blockfolio était sa plateforme de gestion de choix jusqu’à la récente découverte.

Avec plus de 47 millions d’utilisateurs de portefeuilles blockchain à l’heure actuelle, les pirates ont un vaste bassin de victimes possibles à cibler, c’est pourquoi ils ciblent activement les plateformes de crypto-monnaie. Le code découvert par Litvak était lié au référentiel GitHub de l’organisation en utilisant une série de constantes, dont un nom de fichier et, surtout, la clé GitHub qui permettait d’accéder aux référentiels.

L’application a interrogé le référentiel GitHub privé de Blockfolio, et cette requête a conduit à un téléchargement immédiat des FAQ de Blockfolio directement depuis GitHub, une étape qui a probablement été mise en place pour éviter à l’entreprise de mettre à jour ses applications à chaque fois qu’elle effectuait un changement.

Cependant, la clé découverte par Litvak était gênante, car elle pouvait accéder à un référentiel GitHub complet et l’exploiter. Il souhaite savoir si ce danger persiste, car la demande a déjà plusieurs années.

Selon GitHub, un “dépôt” fournit un accès direct aux référentiels publics et privés et implique, entre autres, la possibilité de lire et d’écrire du code et de valider des statuts ainsi que des projets d’organisation.

Pour aggraver les choses, la vulnérabilité découverte était publique depuis deux ans et restait ouverte. Litvak a alerté Blockfolio sur la vulnérabilité via les médias sociaux, car Blockfolio n’utilise pas de programme de correction de bogues pour supprimer les vulnérabilités.

Edward Moncada, co-fondateur et PDG de Blockfolio, a confirmé que le jeton d’accès GitHub avait été laissé par erreur dans les anciennes versions de la base de code et qu’ils avaient révoqué l’accès à cette clé spécifique dès qu’ils étaient alertés de la vulnérabilité. Moncada a déclaré que Blockfolio avait effectué un audit de ses systèmes et qu’aucune modification n’avait été apportée. Étant donné que le jeton permettait d’accéder à du code distinct de la base de données où les données utilisateur étaient stockées, aucune donnée utilisateur n’était en danger.

Le jeton aurait pu permettre à quelqu’un de modifier le code source, mais plusieurs procédures internes sont en place qui sont vérifiées avant de publier des modifications ou des mises à jour du système, et en tant que tel, aucun code malveillant n’aurait été diffusé à aucun de ses utilisateurs.

Les vues, pensées et opinions exprimées ici sont celles de l’auteur uniquement et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Crypto.

Sam Bocetta est un journaliste indépendant spécialisé dans la diplomatie et la sécurité nationale des États-Unis, en mettant l’accent sur les tendances technologiques en matière de cyberguerre, de cyberdéfense et de cryptographie. Auparavant, Sam était un entrepreneur pour le département américain de la Défense, travaillant en partenariat avec des architectes et des développeurs pour atténuer les contrôles des vulnérabilités identifiées dans les applications.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *