Aspect Légal Piratage

Coinbase : une faille liée à un smart contract permettait des retraits d’Ethers théoriquement infinis

Faille de sécurité

Cette faille, dont la décou­verte a été annon­cée ce mer­cre­di, n’a tou­te­fois pas été exploi­tée de manière délibérée.

Logo CoinbaseCoin­base, l’un des prin­ci­paux ser­vices d’a­chat de Bit­coin au monde, avait reçu une alerte de la part d’une socié­té spé­cia­li­sée en cyber­sé­cu­ri­té. Celle-ci lui avait indi­qué qu’il exis­tait une faille dans l’un des smart contracts qu’elle uti­li­sait – une faille qui aurait pu per­mettre à des indi­vi­dus mal­in­ten­tion­nés de reti­rer, en théo­rie, un nombre infi­ni d’E­thers.

Depuis, le pro­blème a été cor­ri­gé, et la socié­té cali­for­nienne a indi­qué qu’au­cun indi­vi­du n’a­vait ten­té de tirer pro­fit de cette brèche – même s’il a été fait men­tion de pertes accidentelles.

Cette faille a été décou­verte dans le cadre d’un pro­gramme de bug boun­ty, avec à la clé une récom­pense de 10 000 dollars.

Faille smart contract Coinbase

Et l’an­nonce faite hier de cette décou­verte a été lar­ge­ment relayée sur Twitter :

Pré­ci­sions que cette faille per­met­tait à des uti­li­sa­teurs d’a­jou­ter des Ethers à leur compte Coin­base – mais pas de pou­voir direc­te­ment les envoyer vers un por­te­feuille Ethe­reum dont ils détien­draient la clé pri­vée. Et dans la mesure où les comptes Coin­base sont véri­fiés et liés à l’i­den­ti­té de leur pro­prié­taire, les pirates poten­tiels auraient sans doute ren­con­tré des dif­fi­cul­tés pour pou­voir conser­ver leur ano­ny­mat.

Il est donc dif­fi­cile de savoir si un indi­vi­du aurait pu s’ac­ca­pa­rer des volumes d’E­ther consé­quents, sans avoir à révé­ler sa véri­table identité.

Les smart contracts : une technologie encore expérimentale

Le fonctionnement des smart contractsCette décou­verte a ravi­vé les inquié­tudes liées à la sécu­ri­té des smart contracts. Jus­qu’i­ci, plu­sieurs star­tups semblent avoir déployé de tels contrats sans qu’ils ne fassent l’ob­jet d’au­dits pous­sés – par­fois en s’ap­puyant uni­que­ment sur un pro­gramme de bug boun­ty. On sait pour­tant que des codes infor­ma­tiques défec­tueux ont per­mis à des tiers, à plu­sieurs reprises, d’ef­fec­tuer des retraits consé­quents – comme ce fut le cas lors du hack de TheDAO.

Jus­qu’i­ci, les pla­te­formes se sont pro­té­gées contre la fraude de la double-dépense ou des soldes incor­rects en exi­geant un grand nombre de confir­ma­tion des tran­sac­tions.

Notons que la plu­part des exploi­ta­tions de failles de sécu­ri­té liées à des smart contracts ont eu lieu sur la blo­ck­chain Ethe­reum – pro­ba­ble­ment parce qu’il s’a­git de la pla­te­forme la plus uti­li­sée par les déve­lop­peurs. Mais cette pro­blé­ma­tique est loin de se limi­ter à celle-ci, et il s’a­git sans doute de l’un des prin­ci­paux défis que devra rele­ver l’é­co­sys­tème dans les mois et les années à venir.

Réfé­rence : Cry­po­to­vest

5/5 – (1 vote) 
S’abonner
Notification pour
guest

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x