Coinbase : une faille liée à un smart contract permettait des retraits d’Ethers théoriquement infinis

Pré­ci­sions que cette faille per­met­tait à des uti­li­sa­teurs d’a­jou­ter des Ethers à leur compte Coin­base – mais pas de pou­voir direc­te­ment les envoyer vers un por­te­feuille Ethe­reum dont ils détien­draient la clé pri­vée. Et dans la mesure où les comptes Coin­base sont véri­fiés et liés à l’i­den­ti­té de leur pro­prié­taire, les pirates poten­tiels auraient sans doute ren­con­tré des dif­fi­cul­tés pour pou­voir conser­ver leur ano­ny­mat.

Il est donc dif­fi­cile de savoir si un indi­vi­du aurait pu s’ac­ca­pa­rer des volumes d’E­ther consé­quents, sans avoir à révé­ler sa véri­table identité.

Les smart contracts : une technologie encore expérimentale

Cette décou­verte a ravi­vé les inquié­tudes liées à la sécu­ri­té des smart contracts. Jus­qu’i­ci, plu­sieurs star­tups semblent avoir déployé de tels contrats sans qu’ils ne fassent l’ob­jet d’au­dits pous­sés – par­fois en s’ap­puyant uni­que­ment sur un pro­gramme de bug boun­ty. On sait pour­tant que des codes infor­ma­tiques défec­tueux ont per­mis à des tiers, à plu­sieurs reprises, d’ef­fec­tuer des retraits consé­quents – comme ce fut le cas lors du hack de TheDAO.

Jus­qu’i­ci, les pla­te­formes se sont pro­té­gées contre la fraude de la double-dépense ou des soldes incor­rects en exi­geant un grand nombre de confir­ma­tion des tran­sac­tions.

Notons que la plu­part des exploi­ta­tions de failles de sécu­ri­té liées à des smart contracts ont eu lieu sur la blo­ck­chain Ethe­reum – pro­ba­ble­ment parce qu’il s’a­git de la pla­te­forme la plus uti­li­sée par les déve­lop­peurs. Mais cette pro­blé­ma­tique est loin de se limi­ter à celle-ci, et il s’a­git sans doute de l’un des prin­ci­paux défis que devra rele­ver l’é­co­sys­tème dans les mois et les années à venir.

Réfé­rence : Cry­po­to­vest