Piratage du Verge (XVG) : la crypto-monnaie anonyme aurait été victime d’une attaque des 51%

La blo­ck­chain de la cryp­to-mon­naie ano­nyme Verge (XVG) aurait été vic­time d’une attaque des 51%. Si cer­tains indiquent que le pirate serait par­ve­nu à obte­nir 250 000 XVGs (12 500 dol­lars), d’autres estiment qu’au moins 3,9 mil­lions de coins (soit plus de 220 000 dol­lars) auraient été dérobes.

Le Verge (XVG) aurait été victime d’une attaque des 51%

Cette attaque a été décou­verte hier par ocmi­ner, un membre du forum Bit­coin­talk. Il explique qu’un pirate se serait appuyé sur « plu­sieurs failles » du code infor­ma­tique du Verge (XVG) pour miner un grand nombre de blocs de sa blo­ck­chain, empo­chant au pas­sage de nom­breux XVGs.

Pour y par­ve­nir, le hacker aurait mis en place une « attaque des 51% » – une attaque qui consiste à réunir plus de la moi­tié de la puis­sance du hachage d’un réseau blockchain.

Il faut savoir que le Verge uti­lise 5 algo­rithmes de chif­fre­ment dif­fé­rents pour son minage – et qu’il change d’al­go­rithme à chaque bloc. Le pirate se serait appuyé sur un bug pré­sent dans son code pour mani­pu­ler les horo­da­tages de ses blocs, ce qui lui a per­mis d’en miner un grand nombre avec un seul et unique algo­rithme, l’al­go­rithme Scrypt.

Ceci lui aurait offert la pos­si­bi­li­té de dis­po­ser de la majo­ri­té du pou­voir de hachage du réseau, et ce avec bien moins de puis­sance de cal­cul que ce qui aurait nor­ma­le­ment été nécessaire.

Tou­jours selon ocmi­ner, cette attaque aurait duré envi­ron 3 heures.

Cer­tains membres de la com­mu­nau­té XVG niaient pour­tant aujourd’­hui l’exis­tence de ce hack…

… alors que des coins auraient pour­tant été per­dus sur des « pools » de minage :

Si les déve­lop­peurs du Verge indiquent qu’en­vi­ron 250 000 XVGs auraient été déro­bés, cer­tains estiment que le pirate serait par­ve­nu à obte­nir au moins 3,9 mil­lions de coins (soit l’é­qui­valent de plus de 220 000 dollars).

Cette attaque est notable dans la mesure où elle est direc­te­ment liée à la blo­ck­chain du Verge. Rap­pe­lons que ce n’é­tait pas le cas des pira­tages dont ont été vic­times cette année les pla­te­formes Coin­check (un vol de XEMs) et Bit­Grail (un vol de Nanos).

Un « hard fork » en vue ?

Jus­tinv, le lead deve­lop­per du Verge, a pro­po­sé sur GitHub un « com­mit » d’ur­gence pour remé­dier tem­po­rai­re­ment au pro­blème – une mise à jour qui a atteint son objec­tif, mais seule­ment lors d’une seconde tentative.

Et les équipes du Verge pour­raient ne pas s’ar­rê­ter là. Comme l’a indi­qué Doge­dark­dev sur Bit­coin­Talk, elles seraient prêtes à mettre en place un « hard fork » pour éli­mi­ner cette faille de sécurité.

Mais cela pour­rait ne pas être suf­fi­sant. Si l’on s’ap­puie sur les décla­ra­tions d’IDC­To­ken, un autre membre de Bit­coin­Talk, deux autres failles du code du Verge pour­raient être exploi­tées pour réa­li­ser des attaques simi­laires :

« Hey l’é­quipe de Verge. Embau­chez de vrais déve­lop­peurs, et répa­rez votre code. Nous avons trou­vé deux autres failles qui per­mettent éga­le­ment des “hashes” rapides »

Les attaques des 51%, des attaques peu communes

Voi­ci ce que Rowan Stone, le fon­da­teur de la socié­té de minage de cryp­to-mon­naies Alter Chain, a expli­qué à News.Bitcoin.com :

« Les coins « Proof-of-Work » [comme le XVG] sont sécu­ri­sés grâce à un consen­sus dis­tri­bué. Cette attaque consti­tue un bon exemple de ce qu’il est pos­sible de faire, pour une enti­té unique qui dis­pose de suf­fi­sam­ment de pou­voir de hachage : elle peut créer son propre consensus ».

Ces pro­cé­dés sont per­çus par beau­coup comme étant qua­si impos­sibles à mettre en place sur le réseau bit­coin. En effet, une telle attaque ne pour­rait être cou­ron­née de suc­cès que si un indi­vi­du – ou un groupe d’in­di­vi­dus – par­ve­naient à réunir des machines déli­vrant une puis­sance de cal­cul de plus de 13 000 mil­liards de hashes par seconde.

Et même si les « alt­coins » s’ap­puient sur des taux de hachage bien infé­rieurs à ceux du Bit­coin, il est tou­te­fois rare de consta­ter la réus­site de telles entre­prises sur leurs réseaux. On sait tou­te­fois qu’Elec­tro­neum aurait été vic­time d’une telle attaque il y a seule­ment quelques jours, alors que cer­tains obser­va­teurs estiment qu’il s’a­gi­rait du même pirate que celui qui s’en est pris au Verge.

Le XVG, un coin controversé

Le Twit­ter offi­ciel du Verge a ten­té de mini­mi­ser hier soir la sévé­ri­té de ces évé­ne­ments, en évo­quant une « small hash attack » et an ajou­tant que « tout avait été désor­mais répa­ré » :

Ce tweet a été vive­ment cri­ti­qué sur Reddit :

Le XVG avait flam­bé lors des jours pré­cé­dents cette attaque – une flam­bée sans doute liée à la pers­pec­tive d’un par­te­na­riat qui devait être noué avec une « orga­ni­sa­tion mon­diale déte­nant un large réseau de sites à fort tra­fic », qui sou­hai­te­rait faire du Verge « sa méthode pri­vi­lé­giée pour des paie­ments sécu­ri­sés ».

Lors de la rédac­tion de cet article, le XVG échan­geait à 0,0558 dol­lar. Il avait enre­gis­tré une baisse de 25% depuis mar­di soir, lors­qu’il avait dépas­sé le seuil du 0,0747 dollar :

Pour finir, il convient de rap­pe­ler que le XVG a fait l’ob­jet de nom­breuses contro­verses. On peut citer les craintes liées à sa confi­den­tia­li­té, le « call » de John McA­fee, le pira­tage de son compte Twit­ter, ou encore le fait que ses équipes aient déci­dé de faire appel à la géné­ro­si­té de leur com­mu­nau­té pour récol­ter l’é­qui­valent de plus de 3 mil­lions de dol­lars, des­ti­nés à favo­ri­ser la mise en place du par­te­na­riat cité plus haut :

Réfé­rences : News.bitcoin, Mashable

Cet article ne consti­tue pas une recom­man­da­tion d’investissement. Nous vous sug­gé­rons de mener vos propres recherches avant de déci­der de vous pro­cu­rer des cryp­to-mon­naies – des actifs extrê­me­ment ris­qués. Ne dépen­sez pas plus que ce que vous pou­vez vous per­mettre de perdre. Nous ne sau­rons être tenus res­pon­sables de toute perte en capi­tal, en lien avec la lec­ture de cet article.