Dans un geste sans précédent dans le monde de la cybersécurité, Zengo Wallet, un fournisseur de portefeuille de crypto-monnaie, a annoncé un programme de primes aux bugs unique qui offre aux pirates la chance de gagner une récompense substantielle de 10 Bitcoin (BTC), actuellement évaluée à plus de 430 000 $.
Cette approche non conventionnelle vise à mettre à l'épreuve la sécurité du portefeuille Zengo, en offrant une forte incitation à identifier et exploiter les vulnérabilités potentielles. Le programme devrait durer 15 jours, du 9 janvier au 24 janvier 2024.
Contrairement aux programmes traditionnels de bug bounty qui récompensent les hackers white hat pour avoir découvert et divulgué de manière responsable des vulnérabilités, Zengo Wallet emprunte une voie différente. Au lieu de payer des hackers pour identifier et signaler des bugs, l'entreprise place 10 Bitcoins sur un compte contrôlé par un développeur.
Le problème est que si un pirate parvient à vider les Bitcoins du compte, il sera autorisé à conserver la somme entière.
La chronologie du programme de primes
Le programme de chasse aux bugs de Zengo Wallet est divisé en plusieurs phases sur 15 jours, à compter du 9 janvier. Voici le détail du calendrier du programme :
9 janvier : L'adresse du compte sera révélée et il contiendra initialement 1 BTC, soit environ 43 000 $.
14 janvier : Zengo Wallet ajoutera 4 BTC supplémentaires, totalisant 172 000 $, au compte et fournira l'un des « facteurs de sécurité » utilisés pour sécuriser le compte.
21 janvier : L'équipe ajoutera 5 BTC supplémentaires, soit 215 000 $, au portefeuille et révélera un deuxième facteur de sécurité. Le portefeuille repose sur un total de trois facteurs de sécurité.
Les hackers qui souhaitent participer auront jusqu'au 24 janvier à 16 heures UTC pour tenter de pirater le portefeuille. Si quelqu'un y parvient pendant ce laps de temps, il aura le droit de conserver la totalité de la récompense de 10 BTC.
Fonctionnalités de sécurité uniques de Zengo Wallet
Zengo Wallet se targue d'une approche particulière en matière de sécurité. Il se présente comme un portefeuille « sans vulnérabilité de phrase de départ », ce qui constitue une différence notable par rapport aux portefeuilles de cryptomonnaies classiques. Les utilisateurs ne sont pas tenus de recopier les mots de départ lors de la création du compte, et le portefeuille ne stocke aucun fichier de coffre-fort de clés.
Le cœur de la sécurité du portefeuille Zengo repose sur l’utilisation de la technologie de réseau de calcul multipartite (MPC) pour la signature des transactions. Plutôt que de générer une clé privée, le portefeuille crée deux « parts secrètes » distinctes. La première part est stockée sur l’appareil mobile de l’utilisateur, tandis que la seconde réside sur le réseau MPC.
La part de l’utilisateur est en outre sécurisée par une méthode d’authentification à trois facteurs (3FA), qui nécessite l’accès à un fichier de sauvegarde crypté sur son compte Google ou Apple, l’adresse e-mail liée au compte de portefeuille et un scan du visage sur son appareil mobile. Ces trois facteurs sont essentiels pour reconstituer la part de l’utilisateur.
De plus, une méthode de sauvegarde existe pour la part du réseau MPC. Zengo Wallet a confié à un cabinet d'avocats tiers une « clé de déchiffrement principale ». Si les serveurs du réseau MPC deviennent inaccessibles, ce cabinet d'avocats peut publier la clé de déchiffrement sur un référentiel GitHub.
Dans un tel cas, l'application de portefeuille entrera automatiquement en « mode de récupération », ce qui permettra aux utilisateurs de reconstruire la part du réseau MPC correspondant à leur compte. Une fois les deux parts obtenues, les utilisateurs peuvent générer une clé privée traditionnelle et l'importer dans une autre application de portefeuille, facilitant ainsi la restauration du compte.
La décision de Zengo Wallet d’opter pour un programme de bug bounty non conventionnel suscite un intérêt considérable dans les communautés de cryptomonnaie et de cybersécurité. Cette approche unique met les pirates au défi de trouver et d’exploiter les vulnérabilités d’un portefeuille qui prétend offrir une sécurité plus élevée, notamment en éliminant le besoin de phrases clés et de clés privées traditionnelles.
Le monde des cryptomonnaies suivra de près l’évolution du programme de chasse aux bugs au cours des prochaines semaines. Cette initiative innovante teste la sécurité du portefeuille et repousse les limites des pratiques traditionnelles de chasse aux bugs.
