Le caractère paradoxal La confidentialité de la crypto-monnaie réside dans le fait que la blockchain, ce registre immuable de toutes les transactions d’une crypto-monnaie, sert à la fois de carte et de masque : les bitcoins sont assez faciles à suivre d’une adresse à l’autre. Mais seules quelques entités, comme les échanges de crypto-monnaie qui permettent aux utilisateurs d’échanger leur crypto contre de la monnaie traditionnelle, sont capables de faire correspondre les chaînes impénétrables de chiffres et de lettres de ces adresses à des identités réelles. Ainsi, lorsque l’un de ces échanges met soudainement en ligne une énorme base de données d’utilisateurs internes, il ne se contente pas de diffuser ses propres données. Ils ont offert une clé pour déchiffrer un ensemble beaucoup plus vaste de secrets financiers.
C’est ce qui s’est passé la semaine dernière lorsque Celsius, un échange de crypto-monnaie menacé de faillite, a divulgué une énorme collection de données de transaction de ses utilisateurs par le biais d’une sorte inhabituelle de violation de la vie privée : un dossier judiciaire. Dans le cadre de sa procédure de mise en faillite – dans laquelle les propriétaires de la société sont accusés d’avoir retiré des dizaines de millions de dollars de crypto de l’échange avant de révéler son insolvabilité – les avocats de la société ont publié un document qui semble inclure les données de transaction d’un demi-million de ses utilisateurs d’avril de cette année jusqu’à ce qu’il cesse ses activités en juin. Cette base de données a été brièvement publiée sous forme de fichier PDF de 14 500 pages sur le site Web des archives judiciaires PACER avant d’être supprimée, mais pas avant que Gizmodo ne la copie sur Internet Archive, où elle a été largement téléchargée avant d’y être également supprimée.
Le vidage de données comprend les noms et les détails des transactions des utilisateurs de Celsius ainsi que les dates et les montants de chaque paiement. La base de données n’inclut pas les adresses de crypto-monnaie qui identifient directement les expéditeurs et les destinataires sur les blockchains des crypto-monnaies, mais les montants de paiement uniques, détaillés jusqu’à plus d’une douzaine de décimales de précision dans de nombreux cas, permettent néanmoins de faire correspondre les paiements à les enregistrements des blockchains.
Tout cela signifie que la fuite de Celsius offre un cadeau rare aux traceurs de crypto-monnaie professionnels et amateurs, leur permettant non seulement de voir les transactions des utilisateurs de Celsius, mais également d’identifier et de suivre les fonds de ces utilisateurs à travers les chaînes de blocs. Cela pourrait potentiellement ouvrir de nouvelles possibilités pour identifier les escrocs, les pirates ou tout autre utilisateur illicite qui aurait pu exploiter Celsius comme service de retrait de pièces mal acquises. Mais cela ouvre également les utilisateurs de Celsius à l’exploitation par tout escroc ou voleur qui parcourt les données, les connecte à d’autres comptes et identifie leurs avoirs en crypto-monnaie comme une cible mûre.
« Il s’agit vraiment de l’une des pires violations de données d’échange depuis Mt. Gox », déclare Nick Bax, responsable de la recherche chez Convex Labs, société de conseil en sécurité et de récupération d’actifs. Mais même s’il compare la fuite de Celsius à la brèche désastreuse du premier échange Bitcoin Mt. Gox, qui a été mis en faillite par des pirates en 2014 et dont la base de données de transactions a été divulguée en ligne, il l’appelle également un « rêve devenu réalité pour les analystes » axés sur traçage de crypto-monnaie.
« Vous pouvez trouver le solde, les dépôts et les retraits de quelqu’un, puis corréler tout cela à la blockchain », explique Bax. «Nous pouvons l’utiliser pour de bon, mais il peut aussi être utilisé à mauvais escient. Les criminels vivent cela en ce moment, à la recherche de celui qui a les plus gros soldes. Une fois identifiés, prévient Bax, ces riches détenteurs de cryptos pourraient être la cible de harponnage, d’escroqueries et même d’extorsion physique.