Un voleur prend en photo la phrase secrète de la victime dans son appartement, vole 1,7 million de dollars en Crypto

Un ancien plongeur des forces armées de Singapour (SAF) a avoué devant le tribunal avoir volé 1,7 million de dollars en cryptomonnaie après avoir photographié en secret une phrase clé appartenant à un ressortissant chinois vivant à Singapour.

Teo Rong Xuan, âgé de 34 ans, qui a précédemment servi dans l'unité de plongée de la marine, a plaidé coupable de charges comprenant l'effraction, l'utilisation abusive d'un système informatique et le traitement de gains mal acquis devant le tribunal le 1er octobre, selon le Straits Times.

Les phrases graines---généralement une séquence de mots aléatoires---agissent comme la clé maître des portefeuilles de cryptomonnaie. Contrairement à un mot de passe, une phrase graine volée ne peut pas être réinitialisée, ce qui signifie que l'accès aux fonds est irrémédiablement perdu une fois compromis.

Le vol de la phrase secrète est l'un des moyens les plus courants pour les voleurs et les pirates de gagner l'accès au portefeuille d'une personne. Les attaques d'infrastructure ciblant les clés privées et les phrases secrètes ont représenté 70 % des fonds volés l'année dernière, selon une entreprise d'analyse blockchain. L'entreprise a ajouté qu'elles sont souvent obtenues par de mauvaises pratiques de stockage, des campagnes de phishing et le déploiement de logiciels malveillants.

Les dossiers judiciaires montrent que Teo a rencontré la victime âgée de 30 ans à la mi-2022 par l'intermédiaire d'un ami commun. Lors d'une réunion de match de football au domicile de la victime, Teo a obtenu une carte d'accès à un condominium sous le prétexte d'aider un autre invité. Il n'a pas restitué la carte.

Le 31 décembre 2022, Teo a exploité cet accès pour revenir dans l'unité de la victime pendant que celle-ci était absente. Il a trouvé et photographié un morceau de papier contenant la phrase de départ de 24 mots pour le portefeuille matériel Ledger Nano X de la victime. Le lendemain, Teo a utilisé la phrase de départ pour transférer 1,7 million de dollars en stablecoin USDT vers son propre portefeuille.

Les procureurs ont déclaré que Teo avait dépensé l'argent pour des montres de luxe, des jeux d'argent en ligne et des paiements hypothécaires. Environ 1,1 million de dollars ont été convertis en dollars américains et transférés sur son compte bancaire. Teo a ensuite admis le crime après que la victime a découvert les fonds manquants et que les enquêteurs en blockchain ont lié le vol à son portefeuille.

Teo a déclaré qu'il était motivé par de lourdes pertes financières suite à l'effondrement en 2022 d'un important échange de cryptomonnaies.

Sécurité du portefeuille crypto

Des experts de l'industrie ont déclaré que cette affaire illustre comment l'erreur humaine et des pratiques de stockage faibles continuent de compromettre la sécurité des actifs numériques.

« Ce cas est un rappel fort que le comportement des utilisateurs est aussi important que la sécurité du produit », a déclaré un PDG d'une entreprise de portefeuille crypto à un média.

Elle a recommandé que les détenteurs à long terme utilisent des portefeuilles matériels avec des chipsets cryptés, tandis que les traders actifs pourraient envisager des sauvegardes dans le cloud, bien qu'elle ait averti que de telles méthodes introduisent également des risques liés au chiffrement tiers et à l'accès au compte.

Un co-fondateur et PDG d'une plateforme de paiements a ajouté que l'affaire a mis en évidence à quel point il est crucial de protéger en toute sécurité une phrase de récupération pour les personnes pratiquant l'autocontrôle.

« Le stockage dans un endroit sûr, comme un coffre-fort bancaire, est une bonne pratique. Cependant, il n’y a malheureusement pas de panacée en ce qui concerne la sécurité des actifs numériques », a-t-il déclaré.

Il a dit que d'autres meilleures pratiques seraient d'écrire une phrase de récupération sur un matériau durable tel que des plaques métalliques ignifuges, et de la stocker à plusieurs emplacements sécurisés, ou d'utiliser un portefeuille multi-signatures, qui nécessite des approbations de deux clés privées ou plus pour autoriser toute transaction de leur portefeuille.