Dans le monde des cryptoactifs, un détail technique apparemment insignifiant peut déclencher d'énormes réactions en chaîne. Récemment, un événement impliquant 15 milliards de dollars en Bitcoin a suscité une large attention, dont l'origine était en fait un algorithme de génération de nombres aléatoires défectueux.

En octobre 2025, le United States Marshals Service (USMS) a transféré 9 757 Bitcoins dans un portefeuille froid fédéral. Cette action a immédiatement suscité une réaction massive au sein de la communauté blockchain, car cette adresse est liée à la "whale fantôme" de la piscine Lubian apparue en 2020.

Le problème central de l'événement réside dans le défaut inhérent du générateur de nombres aléatoires pseudo-aléatoires MT19937. Cet algorithme est comme un vieux lecteur de cassettes, dont l'espace de graines ne comporte que 2³² possibilités. Pour un hacker chevronné, il suffit de 4 heures pour épuiser toutes les clés privées possibles.

Entre 2019 et 2020, environ 220 000 portefeuilles générés par cet algorithme fragile ont été considérés comme un "trésor". À son apogée, ces portefeuilles accumulaient jusqu'à 53 500 Bitcoins. Cependant, ces actifs numériques apparemment sûrs devenaient en réalité complètement vulnérables face à un ordinateur portable ordinaire.

Le 28 décembre 2020, un événement incroyable s'est produit : en seulement 6 heures, le même script a vidé 136 951 Bitcoins, avec des frais de transaction fixes de 75 000 Satoshi par transaction. L'identité de l'exécutant de cette action reste un mystère, pouvant être un administrateur système, un hacker éthique ou une personne mal intentionnée. La seule piste laissée est un mystérieux message OP_RETURN : 1228btc@gmail.com.

Ce n'est que cinq ans plus tard, lorsque le ministère de la Justice des États-Unis a poursuivi le groupe Prince, que des mots de passe associés ont été découverts dans un simple coffre en fer contrôlé par Chen Zhi. Ce qui est encore plus préoccupant, c'est que des vulnérabilités similaires ne sont pas des exceptions, des portefeuilles connus comme Trust Wallet et Libbitcoin bx seed ont également présenté des failles de sécurité similaires, entraînant des pertes pour de nombreux investisseurs particuliers.

Le point clé de cet événement est que ce n'est pas le gouvernement qui a craqué le système de chiffrement, mais plutôt qu'il y a un défaut dans la randomité elle-même. Pour les détenteurs de cryptoactifs, cette leçon est à retenir : avant de générer une clé privée, assurez-vous que le générateur de nombres aléatoires que vous utilisez est vraiment sûr et fiable. Sinon, le dicton 'Not your key, not your coin' doit être complété par : 'Not your random, not your coin' (pas votre random, pas votre jeton).

Cet incident nous rappelle encore une fois que, dans le domaine des cryptoactifs en pleine évolution, les détails techniques peuvent décider du sort de fortunes colossales. Il met non seulement en évidence l'importance de la sécurité du chiffrement, mais révèle également les risques potentiels qui subsistent dans le système actuel des cryptoactifs. Pour les investisseurs et les développeurs, suivre et améliorer en permanence la sécurité des technologies sous-jacentes sera une tâche éternelle.