L'affaire Mt.Gox vient de prendre un nouveau tournant. Des chercheurs de l'université de Zurich ont étudié les transactions effectuées via Bitcoin depuis 2013. Selon eux, le bug de malléabilité ne serait à l'origine que d'une perte de quelques milliers de bitcoins à l'échelle mondiale. Simultanément, les autorités japonaises se sont accordé un délai supplémentaire pour faire la lumière sur ces faits, et Mark Karpéles, le PDG de Mt.Gox, refuse de se rendre aux États-Unis pour répondre aux questions d'un juge.
Mark Karpéles, le PDG de Mt.Gox. Source : Coindesk
Alors que les autorités japonaises mènent toujours leur enquête au sujet du prétendu vol de 850 000 bitcoins appartenant à Mt.Gox et à ses clients, Christian Decker et Roger Wattenhofer, deux chercheurs suisses de l'université de Zurich, se sont eux-aussi penchés sur l'affaire. Selon eux, le bug de malléabilité dont se sert Mark Karpéles pour justifier cette perte, ne peut à lui seul expliquer cela, les montants concernés ne correspondant pas à la somme disparue.
Des chercheurs ont passé les transactions à la loupe
Dans un rapport de 15 pages (disponible en pdf ici) les chercheurs détaillent le fonctionnement de la faille de malléabilité des transactions, sur lequel nous ne reviendrons pas en détail. Mais concrètement, si chaque transaction est signée, la signature ne permet pas de savoir si certains bits ont pu être modifiés après l'envoi de cette dernière. Il est ainsi possible de modifier certains éléments de la transaction sans que personne ne s'en rende compte sur le moment à moins d'y prêter particulièrement attention.
Depuis plusieurs mois, les clients de Mt.Gox se plaignaient de ne pas pouvoir retirer leurs fonds sans d'importants délais, signe que la plateforme ne se portait pas au mieux. Suite à cela, la direction de Mt.Gox a décidé le 7 février dernier d'arrêter toutes les transactions avec l'extérieur, le temps d'enquêter sur ce problème. Le 10 février, la plateforme annonce via un communiqué que les choses se gâtent. « Au sujet de la malléabilité des transactions, Mt.Gox a détecté une activité anormale sur ses portefeuilles de bitcoin et a enquêté ces dernières semaines. Cela a confirmé la présence de transactions nécessitant d'être examinées de plus près », explique alors l'entreprise.
Les chercheurs suisses ont donc souhaité vérifier cela, et travaillaient justement depuis janvier 2013 sur l'étude des cas de double-dépenses sur le réseau bitcoin, un autre souci pouvant arriver si l'un des acteurs du réseau dispose d'une part trop importante de la puissance de calcul. A cet effet, ils ont regroupé depuis janvier 2013 l'ensemble des transactions faites via Bitcoin ayant transité par leur biais, leur nœud étant connecté à 20 % des autres nœuds du réseau. Ils estiment ainsi que si le nombre de transactions frauduleuses augmente de façon globale, cela se verra sur la part des nœuds qu'ils observent.
5 670 transactions auraient été altérées avec succès en 13 mois, à l'échelle mondiale
Sur la période allant du 1er janvier 2013 au 28 février 2014, les chercheurs ont détecté un total de 35 202 transactions altérées. Sur ce total, seules 29 139 d'entre elles ont été confirmées dans un bloc, représentant pas moins de 302 700 bitcoins. Mais au final, seules 5 670 ont été validées (soit un taux de succès de 19,46 %) et ne comptent que pour 64 564 bitcoins, à l'échelle mondiale. Bien loin des 850 000 bitcoins avancés par Mt.Gox.
Historique du nombre de transactions altérées et leur montant
Les deux universitaires helvètes ont donc cherché à savoir quelle était la répartition de ces attaques sur le temps, et ont donc divisé leur historique en trois périodes. La première s'étale du 1er janvier 2013 au 7 février 2014 et représentent le laps de temps durant lequel Mt.Gox a dû détecter sa fameuse « activité anormale sur ses portefeuilles de bitcoin » s'étant déroulée « ces dernières semaines ». La seconde correspond aux 8 et 9 février, et donc à la période entre l'arrêt des transactions vers l'extérieur et l'annonce du 10 février concernant les pertes liées au bug de malléabilité. Enfin un dernier segment s'attarde sur les échanges réalisés entre le 10 et le 28 février 2014, date de la mise en faillite de Mt. Gox.
Sur la première période, les chercheurs ont compté un total de 421 tentatives d'attaques, pour un total de... 1811,56 bitcoins. Si l'on considère que 19.46 % de ces attaques ont abouti, au total, seuls 352.53 bitcoins auraient été « volés » en abusant du bug de malléabilité des transactions en l'espace de 13 mois, à l'échelle mondiale. Cela représente 0,041 % des 850 000 bitcoins « perdus » par Mt.Gox.
La majorité des attaques a eu lieu lorsque Karpéles a décidé de verouiller Mt.Gox
Christian Decker et Roger Wattenhofer ont également découvert que le nombre de transactions altérées a soudainement augmenté lors de la seconde et de la troisième période. Les 8 et 9 février il est ainsi question de 1062 tentatives, sur des transactions représentant un total de 5 470 bitcoins. Il est à noter qu'un premier pic de grande ampleur est apparu le 9 février à 17:00 GMT, peu après la publication du communiqué de Mt.Gox sur le bug de malléabilité, avec une pointe à 132 attaques par heure.
Zoom sur le nombre total d'attaques sur le mois de février 2014
Le pire est venu ensuite avec entre le 10 et le 11 février un total de 25 752 tentatives d'altération, portant sur un montant de 286 076 bitcoins, c'est plus de 100 fois plus que lors de toute l'année 2013. Une dernière vague est visible le 15 février, et concerne des transactions à hauteur de 9 193 bitcoins.
Si ces attaques de grande ampleur pourraient justifier les pertes de Mt.Gox, elles arrivent seulement quelques jours trop tard. En effet, la plateforme ayant complètement stoppé les échanges avec le reste du monde le 7 février 2014, toutes les attaques effectuées après cette date ne peuvent en aucun cas concerner Mt.Gox. En fait, la seule conclusion possible est que les annonces de la firme japonaise ont tout simplement déclenché un grand nombre d'attaques, mais pas contre elle.
En conclusion, seules les attaques portées avant le 7 février ont pu toucher la plateforme, or, celles-ci représentent un total inférieur à 400 bitcoins en l'espace d'un an. Même si l'on devait considérer que l'ensemble de ces transactions frauduleuses étaient dirigés contre Mt.Gox, l'entreprise devrait encore se justifier de la perte de 849 600 bitcoins.
Le Japon poursuit son enquête, Karpéles refuse de se rendre aux États-Unis
En parallèle de la diffusion de ce rapport, les autorités japonaises ont décidé cette nuit de repousser la date de la remise de leur rapport sur Mt.Gox au 9 mai prochain. L'annonce est d'autant plus étonnante qu'aucune date précise n'avait été communiquée jusqu'ici. Si le document ne précise pas les raisons menant au rallongement du délai, il y a fort à parier que cela peut avoir un lien avec la diffusion des conclusions des deux chercheurs suisses. Nous devrons donc encore attendre quelques semaines avant de peut-être découvrir le fin mot de l'histoire.
De son côté, Mark Karpéles ne semble pas très pressé de vouloir donner davantage d'explications au reste du monde. Le dirigeant a tout simplement refusé de se rendre aux États-Unis de son plein gré pour répondre aux questions du juge chargé de la plainte collective déposée à son encontre outre-Atlantique.
Selon le site CryptoCoinNews les auteurs de la plainte groupée contre Mt.Gox aux États-Unis ont demandé à ce qu'un juge convoque Mark Karpéles afin qu'il soit entendu comme témoin dans l'affaire, quitte a devoir payer son trajet de leur propre poche. Le français a refusé de faire le déplacement jusque là-bas et a proposé de se rendre à Taïwan, où des avocats pourront lui poser leurs questions, ou alors de le faire via visioconférence. Les plaignants ont décliné cette offre, expliquant que cela serait « une utilisation injustifiable des ressources judiciaires ». À ce train-là, l'affaire ne risque pas de se résoudre de sitôt.
