Selon des chercheurs suisses, Mt.Gox a menti sur l’origine de ses pertes
La blockchain aurait parlé
Le 28 mars 2014 à 15h40
7 min
Économie
Économie
L'affaire Mt.Gox vient de prendre un nouveau tournant. Des chercheurs de l'université de Zurich ont étudié les transactions effectuées via Bitcoin depuis 2013. Selon eux, le bug de malléabilité ne serait à l'origine que d'une perte de quelques milliers de bitcoins à l'échelle mondiale. Simultanément, les autorités japonaises se sont accordé un délai supplémentaire pour faire la lumière sur ces faits, et Mark Karpéles, le PDG de Mt.Gox, refuse de se rendre aux États-Unis pour répondre aux questions d'un juge.
Mark Karpéles, le PDG de Mt.Gox. Source : Coindesk
Alors que les autorités japonaises mènent toujours leur enquête au sujet du prétendu vol de 850 000 bitcoins appartenant à Mt.Gox et à ses clients, Christian Decker et Roger Wattenhofer, deux chercheurs suisses de l'université de Zurich, se sont eux-aussi penchés sur l'affaire. Selon eux, le bug de malléabilité dont se sert Mark Karpéles pour justifier cette perte, ne peut à lui seul expliquer cela, les montants concernés ne correspondant pas à la somme disparue.
Des chercheurs ont passé les transactions à la loupe
Dans un rapport de 15 pages (disponible en pdf ici) les chercheurs détaillent le fonctionnement de la faille de malléabilité des transactions, sur lequel nous ne reviendrons pas en détail. Mais concrètement, si chaque transaction est signée, la signature ne permet pas de savoir si certains bits ont pu être modifiés après l'envoi de cette dernière. Il est ainsi possible de modifier certains éléments de la transaction sans que personne ne s'en rende compte sur le moment à moins d'y prêter particulièrement attention.
Depuis plusieurs mois, les clients de Mt.Gox se plaignaient de ne pas pouvoir retirer leurs fonds sans d'importants délais, signe que la plateforme ne se portait pas au mieux. Suite à cela, la direction de Mt.Gox a décidé le 7 février dernier d'arrêter toutes les transactions avec l'extérieur, le temps d'enquêter sur ce problème. Le 10 février, la plateforme annonce via un communiqué que les choses se gâtent. « Au sujet de la malléabilité des transactions, Mt.Gox a détecté une activité anormale sur ses portefeuilles de bitcoin et a enquêté ces dernières semaines. Cela a confirmé la présence de transactions nécessitant d'être examinées de plus près », explique alors l'entreprise.
Les chercheurs suisses ont donc souhaité vérifier cela, et travaillaient justement depuis janvier 2013 sur l'étude des cas de double-dépenses sur le réseau bitcoin, un autre souci pouvant arriver si l'un des acteurs du réseau dispose d'une part trop importante de la puissance de calcul. A cet effet, ils ont regroupé depuis janvier 2013 l'ensemble des transactions faites via Bitcoin ayant transité par leur biais, leur nœud étant connecté à 20 % des autres nœuds du réseau. Ils estiment ainsi que si le nombre de transactions frauduleuses augmente de façon globale, cela se verra sur la part des nœuds qu'ils observent.
5 670 transactions auraient été altérées avec succès en 13 mois, à l'échelle mondiale
Sur la période allant du 1er janvier 2013 au 28 février 2014, les chercheurs ont détecté un total de 35 202 transactions altérées. Sur ce total, seules 29 139 d'entre elles ont été confirmées dans un bloc, représentant pas moins de 302 700 bitcoins. Mais au final, seules 5 670 ont été validées (soit un taux de succès de 19,46 %) et ne comptent que pour 64 564 bitcoins, à l'échelle mondiale. Bien loin des 850 000 bitcoins avancés par Mt.Gox.
Historique du nombre de transactions altérées et leur montant
Les deux universitaires helvètes ont donc cherché à savoir quelle était la répartition de ces attaques sur le temps, et ont donc divisé leur historique en trois périodes. La première s'étale du 1er janvier 2013 au 7 février 2014 et représentent le laps de temps durant lequel Mt.Gox a dû détecter sa fameuse « activité anormale sur ses portefeuilles de bitcoin » s'étant déroulée « ces dernières semaines ». La seconde correspond aux 8 et 9 février, et donc à la période entre l'arrêt des transactions vers l'extérieur et l'annonce du 10 février concernant les pertes liées au bug de malléabilité. Enfin un dernier segment s'attarde sur les échanges réalisés entre le 10 et le 28 février 2014, date de la mise en faillite de Mt. Gox.
Sur la première période, les chercheurs ont compté un total de 421 tentatives d'attaques, pour un total de... 1811,56 bitcoins. Si l'on considère que 19.46 % de ces attaques ont abouti, au total, seuls 352.53 bitcoins auraient été « volés » en abusant du bug de malléabilité des transactions en l'espace de 13 mois, à l'échelle mondiale. Cela représente 0,041 % des 850 000 bitcoins « perdus » par Mt.Gox.
La majorité des attaques a eu lieu lorsque Karpéles a décidé de verouiller Mt.Gox
Christian Decker et Roger Wattenhofer ont également découvert que le nombre de transactions altérées a soudainement augmenté lors de la seconde et de la troisième période. Les 8 et 9 février il est ainsi question de 1062 tentatives, sur des transactions représentant un total de 5 470 bitcoins. Il est à noter qu'un premier pic de grande ampleur est apparu le 9 février à 17:00 GMT, peu après la publication du communiqué de Mt.Gox sur le bug de malléabilité, avec une pointe à 132 attaques par heure.
Zoom sur le nombre total d'attaques sur le mois de février 2014
Le pire est venu ensuite avec entre le 10 et le 11 février un total de 25 752 tentatives d'altération, portant sur un montant de 286 076 bitcoins, c'est plus de 100 fois plus que lors de toute l'année 2013. Une dernière vague est visible le 15 février, et concerne des transactions à hauteur de 9 193 bitcoins.
Si ces attaques de grande ampleur pourraient justifier les pertes de Mt.Gox, elles arrivent seulement quelques jours trop tard. En effet, la plateforme ayant complètement stoppé les échanges avec le reste du monde le 7 février 2014, toutes les attaques effectuées après cette date ne peuvent en aucun cas concerner Mt.Gox. En fait, la seule conclusion possible est que les annonces de la firme japonaise ont tout simplement déclenché un grand nombre d'attaques, mais pas contre elle.
En conclusion, seules les attaques portées avant le 7 février ont pu toucher la plateforme, or, celles-ci représentent un total inférieur à 400 bitcoins en l'espace d'un an. Même si l'on devait considérer que l'ensemble de ces transactions frauduleuses étaient dirigés contre Mt.Gox, l'entreprise devrait encore se justifier de la perte de 849 600 bitcoins.
Le Japon poursuit son enquête, Karpéles refuse de se rendre aux États-Unis
En parallèle de la diffusion de ce rapport, les autorités japonaises ont décidé cette nuit de repousser la date de la remise de leur rapport sur Mt.Gox au 9 mai prochain. L'annonce est d'autant plus étonnante qu'aucune date précise n'avait été communiquée jusqu'ici. Si le document ne précise pas les raisons menant au rallongement du délai, il y a fort à parier que cela peut avoir un lien avec la diffusion des conclusions des deux chercheurs suisses. Nous devrons donc encore attendre quelques semaines avant de peut-être découvrir le fin mot de l'histoire.
De son côté, Mark Karpéles ne semble pas très pressé de vouloir donner davantage d'explications au reste du monde. Le dirigeant a tout simplement refusé de se rendre aux États-Unis de son plein gré pour répondre aux questions du juge chargé de la plainte collective déposée à son encontre outre-Atlantique.
Selon le site CryptoCoinNews les auteurs de la plainte groupée contre Mt.Gox aux États-Unis ont demandé à ce qu'un juge convoque Mark Karpéles afin qu'il soit entendu comme témoin dans l'affaire, quitte a devoir payer son trajet de leur propre poche. Le français a refusé de faire le déplacement jusque là-bas et a proposé de se rendre à Taïwan, où des avocats pourront lui poser leurs questions, ou alors de le faire via visioconférence. Les plaignants ont décliné cette offre, expliquant que cela serait « une utilisation injustifiable des ressources judiciaires ». À ce train-là, l'affaire ne risque pas de se résoudre de sitôt.
Selon des chercheurs suisses, Mt.Gox a menti sur l’origine de ses pertes
-
Des chercheurs ont passé les transactions à la loupe
-
5 670 transactions auraient été altérées avec succès en 13 mois, à l'échelle mondiale
-
La majorité des attaques a eu lieu lorsque Karpéles a décidé de verouiller Mt.Gox
-
Le Japon poursuit son enquête, Karpéles refuse de se rendre aux États-Unis
Commentaires (37)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/03/2014 à 15h48
Des suisses bavards en matière d’argents, leurs réputations va baisser auprès des personnes aimant la discrétions. " /> " />
Le 28/03/2014 à 16h00
Moi c’est surtout les batage de ceux qui ont perdu qui m’amuse.
C’est tres lucratif, mais tous aussi risqué.
T’as joué t’as perdu…
Le 28/03/2014 à 16h01
Faire face à la justice US ? Juste, non, non, et non. Ces gens ont un historique assez lourd de prise de décisions arbitraires et pas forcément brillantes.
Le 28/03/2014 à 16h02
Le 28/03/2014 à 16h04
Le 28/03/2014 à 16h05
Le 28/03/2014 à 16h10
Ça devient compliqué cette histoire.. je vais attendre le film " />
Le 28/03/2014 à 16h13
Le 28/03/2014 à 16h15
Après c’est encore un français qui s’illustre dans le “MAL” à savoir le boss de Mt. Gox. On a eu StrassKann au FMI qui a fait fort. Jerome Kerviel .
A croire que l’on a un talent ou une excellence pour la connerie surtout quand il est question d’argent.
Le 28/03/2014 à 16h19
Le 28/03/2014 à 16h26
Mais puisqu’on vous dit que les crypto-monnaies évitent les problèmes qu’on rencontre avec les monnaies comme l’euro, le dollar, etc.. ! Pas de fraude possible avec elles !
" />
Le 28/03/2014 à 16h30
Le 28/03/2014 à 16h34
Cette histoire Mt.Gox, c’est un peu comme le vol MH370, plus on en apprend, moins on comprend ce qu’il a pu se passer. " />
Le 28/03/2014 à 16h38
Selon des chercheurs suisses, Mt.Gox a menti sur l’origine de ses pertes
Ah moi j’aurais plutôt cru que ça serait à propos de ce qu’ils ont retrouvé “dans un fond de tiroir”. " />
Le 28/03/2014 à 16h45
Les plaignants ont décliné cette offre, expliquant que cela serait « une utilisation injustifiable des ressources judiciaires ».
Mouais, il propose des solutions au moins.
Le 28/03/2014 à 16h49
Le 28/03/2014 à 16h54
Le 28/03/2014 à 16h56
Le 28/03/2014 à 17h23
Le 28/03/2014 à 18h06
Le 28/03/2014 à 18h35
Il ne lui reste plus qu’à faire le chemin Tokyo-Rome, comme Kerviel ^^;
Le 28/03/2014 à 19h26
Le 28/03/2014 à 19h29
Le 28/03/2014 à 19h43
Le 28/03/2014 à 19h47
Le 28/03/2014 à 20h16
Le 28/03/2014 à 20h40
Le 28/03/2014 à 21h01
Le 28/03/2014 à 21h48
En matière de transparence du Bitcoin, il faudra repasser l’examen.
Le 28/03/2014 à 23h23
Le 29/03/2014 à 02h02
Mark Karpéles, le PDG de Mt.Gox, refuse de se rendre aux États-Unis pour répondre aux questions d’un juge.
Pas fou le gars.
Le 29/03/2014 à 09h25
Le 30/03/2014 à 10h41
Le 30/03/2014 à 23h09
Le 31/03/2014 à 09h00
Le 31/03/2014 à 09h04
Le 31/03/2014 à 09h57