Cybercriminalite Ethereum

Une nouvelle DAO ? La communauté sous le choc au lendemain de l’exploitation d’une faille de sécurité dans Parity

Au len­de­main de l’un des plus grands « exploits » (autre­ment dit, un élé­ment de pro­gramme ayant per­mis d’ex­ploi­ter une faille de sécu­ri­té infor­ma­tique) liés à Ethe­reum – si ce n’est le plus impor­tant – la com­mu­nau­té affiche les signes d’une pos­sible crise.

Après s’être « acci­den­tel­le­ment » atta­qué au wal­let Pari­ty, un indi­vi­du a gelé l’en­semble des Ethers conte­nus dans les por­te­feuilles mul­ti-signa­tures du logi­ciel, déployés après le 20 juillet. Les uti­li­sa­teurs de ces por­te­feuilles ne peuvent depuis plus avoir accès à leurs Ethers – et le gel pour­rait concer­ner l’é­qui­valent de plus de 150 mil­lions de dol­lars, selon cer­taines estimations.

Mais, dans cette his­toire, tout n’est pas clair.

Pour le moment, l’élé­ment se rap­pro­chant le plus d’une esti­ma­tion offi­cielle concer­nant les sommes gelées pro­vient d’un groupe de cher­cheurs en infor­ma­tique, pour qui il s’a­gi­rait d’en­vi­ron 500 000 Ethers, soit une valeur de 154 mil­lions de dol­lars :

Paddy Blockchain sur Twitter

Comme l’a expli­qué Patrick McCor­ry, cher­cheur à l’Uni­ver­si­ty Col­lege de Londres, lui et un groupe de cher­cheurs en infor­ma­tique sont par­ve­nus à cette esti­ma­tion en regar­dant le contrat à l’o­ri­gine de ce pro­blème, puis en scan­nant la Blo­ck­chain Ethe­reum pour trou­ver des smart contracts simi­laires.

Les sommes concer­nées cor­res­pondent, en termes de valeur en dol­lars, à trois fois la taille du hack de The­DaO, un inci­dent qui était jus­qu’a­lors consi­dé­ré comme étant le pire qui soit arri­vé à Ethe­reum depuis sa création.

Notons tou­te­fois qu’en termes d’E­thers, le volume concer­né est beau­coup moins impor­tant que celui lié au hack the The­DAO (le prix de l’E­ther était alors envi­ron 20 fois moins élevé) :

Chiffres hack Ethereum

Et même si l”  »exploit » n’a pas concer­né Ethe­reum en tant que tel, cer­tains membres de la com­mu­nau­té craignent les consé­quences d’une telle attaque.

Rick Dud­ley, ingé­nieur chez vulcanize.io, a expli­qué à CoinDesk :

« Je pense que nous devrions sérieu­se­ment éta­blir, en tant que com­mu­nau­té, les limites de notre par­don. À par­tir de quand devrions-nous ban­nir cer­taines per­sonnes pour des failles de sécu­ri­té ? »

Il pour­sui­vit en évo­quant le « risque fon­da­men­tal » lié à la pla­te­forme de smart contracts.

Careless smart contracts

Les déve­lop­peurs Ethe­reum ont tou­te­fois rapi­de­ment tenu à pré­ci­ser qu’il s’a­gis­sait bien là d’un pro­blème avec le code de smart contract, lui-même basé sur Ethe­reum, mais pas un pro­blème concer­nant direc­te­ment Ethe­reum.

« Ceci confirme ce que nous savions déjà, à savoir que la rédac­tion de smart contracts est com­plexe, et que nous sommes tou­jours en train d’ap­prendre les bonnes pra­tiques pour y par­ve­nir. Les risques liés à l’in­tro­duc­tion de bugs dans de tels contrats sont tou­jours bien pré­sents » a expli­qué Jez San Obe, fon­da­teur et CEO de FunFair.

Ce qu’il faut com­prendre, c’est qu’il existe un dan­ger, un dan­ger inti­me­ment lié au fait que les codes infor­ma­tiques déployés sur la Blo­ck­chain soient irré­pres­sibles – nul ne peut les arrê­ter.

Alors que cette pro­prié­té confère des atouts de poids dans une large gamme d’ap­pli­ca­tions – des chaînes d’ap­pro­vi­sion­ne­ment ali­men­taires aux pla­te­formes de réseaux sociaux – ces bugs ne peuvent pas être répa­rés par une simple mise à jour, comme c’est le cas avec des logi­ciels « classiques ».

Les déve­lop­peurs et les cher­cheurs de la com­mu­nau­té Ethe­reum avaient évo­qué à maintes reprises le pro­blème de la sécu­ri­té, afin d’é­vi­ter l’é­mer­gence de nou­veaux hacks, comme celui de The­DAO. Mais la recherche n’en est encore qu’à ses débuts, et il semble dif­fi­cile, pour le moment, de rédi­ger des smart contracts per­met­tant de béné­fi­cier d’une sécu­ri­té à toute épreuve.

Pen­dant ce temps, d’autres inter­nautes émettent des cri­tiques à l’en­contre de l’é­quipe de déve­lop­pe­ment du logi­ciel Pari­ty, dans la mesure où la décou­verte de cette vul­né­ra­bi­li­té inter­vient seule­ment quelques mois après la décou­verte d’un pre­mier bug, qui avait été à l’o­ri­gine d’un hack, cau­sant déjà 30 mil­lion de dol­lars de pertes.

« La situa­tion n’ins­pire cer­tai­ne­ment pas confiance au sujet de leur pro­chaine mise à jour, des­ti­née à cor­ri­ger cette vul­né­ra­bi­li­té » s’est inquié­té Hope Liu, cofon­da­teur et CEO de Eximchain.

Mal­gré tout, les équipes de Pari­ty sou­tiennent avoir fait véri­fier le code avant de le déployer.

« Nous sui­vons des normes de haut niveau dans le déve­lop­pe­ment de notre logi­ciel, avec notam­ment des véri­fi­ca­tions éma­nant de tiers. Nous avons éga­le­ment mis en place un pro­gramme de bug boun­ty afin que notre logi­ciel puisse être tes­té par la com­mu­nau­té » s’est défen­du un porte-parole de Pari­ty dans un e‑mail envoyé à CoinDesk.

Un problème inhérent à Ethereum ?

Mais d’autres mar­tèlent leur désac­cord. Cet évè­ne­ment vient ain­si don­ner du grain à moudre aux cri­tiques d’E­the­reum, qui sou­tiennent que l’ex­ploi­ta­tion de cette brèche vient démon­trer un pro­blème fon­da­men­tal avec Ethereum.

Char­lie Lee, le créa­teur du Lite­coin, a expli­qué à Coin­Desk qu’il voyait Ethe­reum comme « un para­dis pour les hackers. »

« Le lan­gage de pro­gram­ma­tion Soli­di­ty, uti­li­sé pour rédi­ger des smart contracts sur Ethe­reum, est l’un des pire lan­gages qui puisse exis­ter pour rédi­ger du code infor­ma­tique dépour­vu de bug » a‑t-il expliqué.

Char­lie Lee ajou­ta qu’il esti­mait anor­mal qu’un déve­lop­peur ano­nyme ait pu ain­si mettre la main sur les fonds appar­te­nant à d’autres personnes.

John­son Lau, un par­ti­ci­pant à Bit­coin Core, a dési­gné les smart contracts d’E­the­reum comme étant des « dumb contracts » (contrats stupides) :

Johnson Lau twitter dumb contracts

Il faut savoir que lorsque The­DAO avait été pira­tée l’an­née der­nière, les déve­lop­peurs d’E­the­reum avaient mis en place un fork contro­ver­sé, des­ti­né à rendre leurs fonds aux victimes.

Par ailleurs, cer­taines estiment que des exploi­ta­tions de failles de sécu­ri­té comme celle-ci vont conduire à des pour­suites judiciaires :

« Ce détour­ne­ment devrait très cer­tai­ne­ment conduire à des pro­cès. À terme, il devrait conduire à la mise en place d’o­bli­ga­tions simi­laires pour les déve­lop­peurs de logi­ciels Blo­ck­chain à celles qui s’ap­pliquent déjà dans des socié­tés pri­vées, qui doivent se mettre en confor­mi­té avec les règles qui s’ap­pliquent au sys­tème finan­cier » a expli­qué le consul­tant Blo­ck­chain Cia­ran Murray.

Un hard fork, la bonne solution ?

Mais alors, existe-t-il une solu­tion pour « dége­ler » ces fonds ?

Un « hard fork » consti­tue une solu­tion qui pour­rait per­mettre de rendre leurs fonds aux vic­times. Néan­moins, le fait de réécrire le pro­to­cole d’E­the­reum devrait sus­ci­ter la contro­verse au sein de la communauté.

La der­nière fois que les déve­lop­peurs Ethe­reum avaient emprun­té cette voie, la Blo­ck­chain avait été « for­kée » en deux réseaux, ETH et ETC (Ethe­reum Clas­sic). Et cer­tains déclarent déjà « refu­ser » de prendre à nou­veau le che­min d’un hard fork.

L’u­ti­li­sa­teur @localethereum a lan­cé un son­dage sur Twit­ter. Celui-ci fait appa­raître une majo­ri­té d’in­ter­nautes se décla­rant contre un nou­veau fork :

Ethereum hard fork sondage novembre

Cer­taines figures de la com­mu­nau­té ont tou­te­fois le sen­ti­ment qu’un hard fork devrait, à leur avis, inter­ve­nir. C’est le cas de John­son Lau, qui a expli­qué à Coin­Desk qu’il s”  »atten­dait » à ce qu” Ethe­reum remé­die à ce pira­tage au tra­vers d’un nou­vel hard fork.

« Je sou­haite le meilleur à Pari­ty dans leur peti­tion pour un hard fork » a ajou­té Rick Dud­ley de Vul­ca­nize. « Je suis sin­cè­re­ment navré pour toutes les per­sonnes qui ont per­du de l’argent. »

Les équipes de Pari­ty n’ont quant à elles pas déci­dé de ce qu’elles allaient faire. « Il est encore trop tôt pour se pro­non­cer sur une solu­tion » ont-elles décla­ré à CoinDesk.

Mal­gré tout, cer­tains res­tent opti­mistes et estiment que les déve­lop­peurs Ethe­reum sont à même de par­ve­nir à trou­ver une autre solu­tion pour remé­dier à l’ex­ploi­ta­tion de cette faille de sécurité.

C’est le cas de Jez San Obe. qui a expli­qué à CoinDesk :

« Il est encore trop tôt pour savoir si les white hat hackers vont trou­ver une façon de répa­rer les dom­mages cau­sés, et récu­pé­rer ain­si les sommes gelées. Ne sous-esti­mez pas les capa­ci­tés de ces petits genies. »

Réfé­rence : Coin­Desk