Cybercriminalite Ethereum

Plus de 125 millions d’euros d’Ethers gelés à cause d’une vulnérabilité dans le wallet Parity

Parity Wallet

Les concep­teurs du client Ethe­reum Pari­ty ont annon­cé l’exis­tence d’une faille de sécu­ri­té ayant conduit au gel de 500 000 Ethers, soit envi­ron 131 mil­lions d’eu­ros. C’est la seconde faille décou­verte sur le logi­ciel, la pre­mière ayant conduit, en juillet der­nier, au vol de près de 30 mil­lions d’eu­ros d’Ethers.

Parity découvre une deuxième faille de sécurité en 5 mois seulement

Les nom­breux uti­li­sa­teurs du client Ethe­reum Pari­ty sont sans doute sous le choc après ce qu’ils viennent d’ap­prendre : les déve­lop­peurs du logi­ciel viennent d’an­non­cer la décou­verte d’une nou­velle faille de sécurité.

Cette menace, qui a été pré­sen­tée comme « cri­tique », rend tous les contrats mul­ti-signa­tures inuti­li­sables, et a conduit au gel de plus de plu­sieurs mil­lions d’eu­ros d’E­thers.

Cette nou­velle ne pou­vait pas plus mal tom­ber pour les déve­lop­peurs, alors qu’ils avaient redou­blé d’ef­forts pour retrou­ver leur légi­ti­mi­té suite au pira­tage subi au mois de Juillet der­nier, qui avait conduit au vol de 150 000 ethers (soit près de 30 mil­lions d’eu­ros). Et ce pre­mier vol aurait pu être plus grave si cer­tains hackers « white hat » n’a­vaient pas per­mis de récu­pé­rer 377 000 Ethers par­mi les fonds dérobés.

Suite à ce pira­tage, Pari­ty avait déve­lop­pé un cor­rec­tif et déployé une nou­velle biblio­thèque logi­cielle de « smart contracts » – tous deux cen­sés per­mettre de cor­ri­ger ce problème.

Mais il sem­ble­rait que ce nou­veau code infor­ma­tique conte­nait une autre vul­né­ra­bi­li­té.

C’est elle qui a per­mis d’u­ti­li­ser la biblio­thèque logi­cielle de créa­tion de smart contracts dans le client Pari­ty, afin de trans­for­mer celle-ci en un wal­let mul­ti-signa­tures « clas­sique ». Par consé­quent, un pirate a pu uti­li­ser la fonc­tion ini­t­Wal­let, qui lui a per­mis de prendre le contrôle de plu­sieurs por­te­feuilles.

Le cou­pable pré­sume se pré­sente sous le nom de « devops199 ». Il a expli­qué sur GitHub qu’il a pu, après avoir décou­vert cette faille de sécu­ri­té, uti­li­ser une fonc­tion per­met­tant de « tuer » le smart contract :

Devops pirate Parity

Ce pirate a exploi­té la logique du smart contract, qui avait été déployée pour répa­rer la faille de sécu­ri­té décou­verte le 19 juillet. Si l’on ignore tou­jours si cet acte est mal­veillant, une chose est cer­taine : ses consé­quences pour­raient por­ter pré­ju­dice à de nom­breux investisseurs.

En se basant les infor­ma­tions four­nies par le pirate, envi­ron 500 000 Ethers seraient concer­nés, soit l’é­qui­valent de 131 mil­lions d’eu­ros.

Il a ensuite confié se sen­tir dépas­sé par la situa­tion, expli­quant à Trust­Nodes qu’il n’est qu’un « débu­tant avec Ethe­reum » et qu’il « ne sait même pas pro­gram­mer ».

Des portefeuilles gelés

Dans un article de blog détaillant cette nou­velle faille de sécu­ri­té, l’é­quipe de Pari­ty déclare :

« Il sem­ble­rait que ce pro­blème ait été acci­den­tel­le­ment déclen­ché le 6 Novembre 2017, à 02:33:47 PM +UTC. Il a per­mis à un inter­naute d’u­ti­li­ser la biblio­thèque logi­cielle de créa­tion de smart contracts et de la trans­for­mer en por­te­feuille […] ce qui a ren­du les contrats mul­ti-signa­tures inuti­li­sables, dans la mesure où leur logique (n’im­porte qu’elle fonc­tion de modi­fi­ca­tion d’é­tat) se trou­vait dans la biblio­thèque logi­cielle. »

L’ar­ticle conclut en pré­ci­sant que « cela signi­fie que, pour le moment, les fonds ne peuvent pas être reti­rés des por­te­feuilles mul­ti-signa­tures. »

Cer­tains groupes comme Pol­ka­dot ont d’ailleurs expli­qué qu’ils n’é­taient plus en mesure de recou­vrer leurs Ethers :

Polkadot portefeuille Ethereum gelé

« Mal­heu­reu­se­ment, notre por­te­feuille mul­ti-signa­tures fait par­tie des por­te­feuilles gelés. @ParityTech est en train de tra­vailler sur ce pro­blème, et nous infor­me­ra dès qu’il y aura du nou­veau. »

Les équipes de Pol­ka­dot ont tout de même pré­ci­sé, dans un article sur medium, que le wal­let mul­ti-signa­ture affec­té par l’exploitation de cette faille « ne contient pas l’en­semble des fonds de la Web3 Foun­da­tion [la socié­té à l’o­ri­gine de Pol­ka­dot] » et que leur « capa­ci­té à mettre en place Pol­ka­dot comme pré­vu, tout en sui­vant la feuille de route ori­gi­nelle, n’a pas été affec­tée ».

On se sou­vient que de nom­breuses socié­tés avaient per­du des Ethers en juillet der­nier, lors du pre­mier pira­tage de Pari­ty. On pou­vait retrou­ver par­mi elles des noms tels qu’Ae­ter­ni­ty, Edge­less Casi­no ou encore Swarm City, cette der­nière ayant per­du à elle seule 44 000 ethers.

Parity travaille d’arrache-pied pour trouver une solution

Même si nous igno­rons pour le moment si ce second pira­tage risque de cau­ser des pertes d’E­thers défi­ni­tives pour cer­tains inves­tis­seurs, il s’a­git là d’une bien mau­vaise nou­velle pour une socié­té qui affirme que son logi­ciel « équipe une grande par­tie de l’in­fra­struc­ture du réseau Ethe­reum public ».

Page d'accueil de parity

Pari­ty a sou­hai­té démen­tir les rumeurs cir­cu­lant sur les réseaux sociaux – des rumeurs selon les­quelles des Ethers auraient été défin­ti­ve­ment volés. D’a­près les équipes de Pari­ty, il ne s’a­gi­rait là que de « spé­cu­la­tions ».

Déclaration parity

Les déve­lop­peurs ont expli­qué qu’ils étaient en train d’en­quê­ter sur cette attaque, et ont pro­mis de publier rapi­de­ment des nouvelles.

Les mots « to the best of our know­ledge » (« d’a­près ce que nous savons ») ne par­vien­dront cer­tai­ne­ment pas à conso­ler les inves­tis­seurs qui se retrouvent, tem­po­rai­re­ment ou non, pri­vés de leurs Ethers.

Il existe une pos­si­bi­li­té pour que la seule manière de rendre leurs Ethers à leurs pro­prié­taires passe par un fork du réseau Ethe­reum. C’est ce qui avait eu lieu après le pira­tage de The­DAO, lors­qu’un smart contract com­por­tant une faille de sécu­ri­té avait conduit à des pertes d’E­thers, et que la Blo­ck­chain avait était « for­kée » en Ethe­reum et Ethe­reum Classic.

Ce pira­tage risque d’at­ti­ser de nou­velles cri­tiques sur la com­mu­nau­té des cryp­to-mon­naies. Il faut tou­te­fois pré­ci­ser que les smart contracts consti­tuent encore une tech­no­lo­gie jeune, et qu’il n’est pas éton­nant que ces contrats puisse conte­nir cer­tains failles.

Réfé­rences : news.bitcoin.com, cryp­to­vest