Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions d'euros
Ethereum : un pirate réussit à dérober l'équivalent de près de 30 millions d'euros,
en s'appuyant sur une faille dans les contrats intelligents de Parity
Les trois entités que sont Edgeless, Swarm City et æternity, qui portent respectivement des projets de casino sur Ethereum, d’économie décentralisée et de blockchain alternative, ont lancé une ICO (levées de fonds en cryptomonnaies).
Si cette activité se portait bien, c’était sans compter sur un attaquant qui a vidé trois portefeuilles Ethereum appartenant à ces trois entités. Ces derniers avaient la particularité d’être tous stockés sur des adresses associées à des portefeuilles créés avec le client Ethereum de la société britannique Parity Technologies. L’attaquant s’est servi d’un défaut critique dans le portefeuille Ethereum à multiples signatures proposé par le Britannique pour empocher 153 000 ethers (près de 30 millions d’euros dans la valeur actuelle).
Ces portefeuilles à multiples signatures sont des programmes (plus précisément des contrats intelligents) utilisés pour conserver les ethers, la monnaie utilisée par le projet Ethereum, mais ceux-ci peuvent être partagés entre plusieurs utilisateurs. Les mouvements de fonds sur ces portefeuilles doivent donc être théoriquement approuvés par une majorité des propriétaires du portefeuille.
S’il avait eu plus de temps, le pirate aurait pu empocher 150 millions de dollars de plus. Cependant, ayant constaté les mouvements, un groupe de white-hack de la communauté Ethereum s’est rapidement organisé. Ils ont analysé l'attaque et ont réalisé qu'il n'y avait aucun moyen d'inverser les transactions, mais également que beaucoup plus de portefeuilles étaient vulnérables. La seule solution qu’ils ont trouvée ? Vider les portefeuilles restants qui étaient vulnérables avant que le pirate ne puisse le faire. Une fois que l'argent a été mis en sécurité, ils ont entamé le processus de renvoyer les fonds à leurs titulaires de compte respectifs.
Parity a confirmé l’existence de la faille critique à partir de la version 1.5 « Nativity ». Plus précisément, la faille, qui a déjà été corrigée, ne se situe pas dans le portefeuille en lui-même, mais dans le contrat permettant de gérer un portefeuille en multisignature.
En clair, qu’est-ce qui s’est réellement passé ?
Il y a trois éléments constitutifs de cette histoire : Ethereum, les contrats intelligents et les portefeuilles numériques.
Ethereum est une monnaie numérique qui a été déployée en 2013, soit quatre ans après la sortie de Bitcoin. Il est devenu la seconde plus grande monnaie numérique au monde avec un plafond de marché de 20 milliards de dollars pour 40 milliards de dollars du côté du Bitcoin.
Comme toutes les cryptomonnaies, Ethereum s’inspire du protocole Bitcoin. Cependant, alors que Bitcoin utilise sa chaîne de blocs pour implémenter un grand nombre de transactions monétaires, Ethereum utilise sa chaîne de blocs pour enregistrer les transitions d'états dans un gigantesque ordinateur distribué. La monnaie numérique correspondante d'Ethereum est ether.
Les contrats intelligents sont simplement des programmes informatiques qui fonctionnent sur EVM. À bien des égards, ils sont comme des contrats normaux, sauf qu'ils n'ont pas besoin d'avocats ou de juges pour les interpréter. Au lieu de cela, ils sont compilés pour bytecode et interprétés sans ambiguïté par EVM. Avec ces programmes, vous pouvez (entre autres choses) transférer par programme de la monnaie numérique en fonction uniquement des règles du code du contrat.
Bien sûr, il y a des choses que les contrats normaux font que les contrats intelligents ne peuvent pas (par exemple les contrats intelligents ne peuvent pas facilement interagir avec des choses qui ne sont pas sur la chaîne de blocs). Mais les contrats intelligents peuvent également faire des choses que les contrats normaux ne peuvent pas faire, comme imposer un ensemble de règles entièrement à travers une cryptographie incassable.
Cela nous conduit à la notion de portefeuilles. Dans le monde des monnaies numériques, les portefeuilles vous permettent de stocker vos actifs. Vous accédez à votre portefeuille en utilisant essentiellement un mot de passe secret, également appelé clé privée. Il existe de nombreux types de portefeuilles qui confèrent différentes propriétés de sécurité, telles que les limites de retrait. L'un des types les plus populaires est le portefeuille multisignature.
Dans un portefeuille multisignature, il existe plusieurs clés privées qui peuvent débloquer le portefeuille, mais une seule clé ne suffit pas pour le débloquer. Si votre portefeuille multisignature comporte trois touches, par exemple, vous pouvez spécifier qu'au moins deux des trois clés doivent être fournies pour débloquer avec succès. Cela signifie que si vous, votre père et votre mère sont tous les signataires de ce portefeuille, même si un criminel a piraté votre mère et a volé sa clé privée, il ne pourra pas avoir accès aux fonds. Cela conduit à des garanties de sécurité beaucoup plus fortes, de sorte que les multisignatures sont devenues presque comme une norme de sécurité de portefeuille numérique.
Que s’est-il donc passé ? Le pirate a trouvé un bogue dans le code qui permet de réinitialiser le portefeuille, comme pour restaurer aux réglages d'usine sur un smartphone. Une fois que cela était fait, le pirate était libre de se désigner comme nouveau propriétaire et retirer les fonds.
Il est donc important de préciser qu’il ne s’agit pas d’une faille dans Ethereum ou dans des contrats intelligents en général. Il s'agissait plutôt d'une erreur de l’éditeur dans un contrat particulier.
Source : transactions Ethereum , billet Parity, Edgeless, æternity, Swarm City
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Répondre avec citation
Partager