Cybersécurité10 juillet 2026· via The Hacker News

Portefeuilles crypto menacés : la faille « Ill Bloom » vide des millions en heures

Portefeuilles crypto menacés : la faille « Ill Bloom » vide des millions en heures

Image : The Hacker News

En l’espace de 48 heures, des attaquants ont exploité une faille inédite dans des logiciels de portefeuilles crypto pour détourner plus de 3 millions de dollars auprès d’utilisateurs non avertis. Les chercheurs en sécurité de Coinspect ont baptisé cette faille « Ill Bloom », en référence à la façon dont certains portefeuilles génèrent des phrases de récupération. Au lieu de s’appuyer sur un aléatoire robuste, le logiciel produisait des suites prévisibles, permettant aux attaquants de reconstituer la phrase et de vider les portefeuilles en quelques heures seulement après leur création.

Déroulement de l’attaque

L’exploitation repose sur un manque d’entropie lors de la génération des phrases de récupération. Lorsque la source de nombres aléatoires d’un portefeuille est prévisible – par exemple en réutilisant l’horloge système ou une graine fixe – un attaquant peut modéliser les sorties et reconstruire la séquence exacte de douze ou vingt-quatre mots. Une fois la phrase connue, l’attaquant peut importer le portefeuille n’importe où et transférer les fonds sans que le propriétaire n’en ait connaissance.

Personnes concernées et actions à mener

Coinspect a confirmé au moins une opération à grande échelle en mai, mais la faille pourrait toucher tout logiciel de portefeuille reposant sur un aléatoire de mauvaise qualité. Les utilisateurs doivent vérifier sans tarder si leur fournisseur de portefeuille a publié un correctif ou une mise à jour de l’outil de récupération. Si vous avez généré une phrase de portefeuille sur un client potentiellement vulnérable ces six derniers mois, transférez vos actifs vers un nouveau portefeuille hors ligne et révoquez les anciennes adresses.

Enjeux

Cet incident révèle comment un maillon faible dans la génération des clés peut compromettre la sécurité de millions de dollars. Il souligne aussi l’importance des audits ouverts des logiciels de portefeuilles et de la vigilance des utilisateurs – car une fois la phrase perdue, les fonds le sont pour toujours. Les fournisseurs de portefeuilles doivent adopter un aléatoire cryptographiquement sécurisé et publier des tests d’entropie vérifiables ; les utilisateurs, quant à eux, doivent considérer chaque phrase de récupération comme un secret de haute valeur et ne jamais la réutiliser entre services.


Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur The Hacker News →

← Retour à l'accueil