La crypto-monnaie anonyme Verge (XVG) semble avoir été victime – pour la deuxième fois depuis le début du mois d’avril – d’une attaque des 51%.
Selon des données publiées sur BitcoinTalk par l’utilisateur ocminer – qui gère la pool de minage Suprnova – un pirate informatique serait parvenu à forker la blockchain du Verge à travers une attaque des 51%. Il se serait pour cela appuyé sur une faille présente dans le code informatique de l’actif numérique, qui serait susceptible de permettre à des mineurs malveillants de mettre en place de faux horodatages, et de pouvoir ainsi rapidement miner de nombreux blocs.
$XVG @vergecurrency is once again under attack, someone is 51%“ing the chain and invalidating all legit blocks. All pools and miners suffer from this, the attacker is getting all blocks currently.
— supr nova *no giveaways* (@SuprnovaPools) 22 mai 2018
Le protocole du Verge s’appuie sur une rotation de cinq algorithmes de minage différents. L’image fournie par ocminer suggère que le pirate serait parvenu à prendre le contrôle de deux d’entre eux – scrypt et lyra2re. Ceci lui aurait permis de miner de nombreux blocs en profitant de niveaux de difficulté quasi-nuls, grâce à de faux horodatages qui ont amené le réseau à les accepter sur sa chaîne.
L’attaque semble avoir été conduite entre les blocs 2 155 850 and 2 206 272, offrant au pirate la possibilité de s’accaparer 35 millions de XVGs – soit l’équivalent de 1,54 million de dollars aux cours actuels – en seulement quelques heures.
Lors de la rédaction de cet article, cet attaque semblait avoir pris fin – même s’il n’était pas possible d’exclure l’arrivée une nouvelle offensive similaire.
Le prix du XVG a fortement chuté suite à cette découverte. Il était ainsi passé sous la barre des 0,045 dollars, et s’échangeait à 563 satoshis.
La deuxième attaque en moins de deux mois
Face à cette attaque, la réponse des développeurs du Verge n’a pas été de nature à rassurer la communauté. Ce mardi matin, ils ont reconnu à travers un tweet qu’un problème liée au minage était survenu, mais ils l’ont attribué à une attaque DDoS qui aurait visé plusieurs pools de minage XVG. Le compte n’a pas publié d’autre tweet depuis.
it appears some mining pools are under ddos attack, and we are experiencing a delay in our blocks, we are working to resolve this.
— vergecurrency (@vergecurrency) 22 mai 2018
Cette attaque paraît similaire à celle dont avait été victime le réseau Verge au début du mois d’avril, et qui avait permis à un mineur malveillant d’obtenir 20 millions de XVGs, d’une valeur d’environ 1,1 million de dollars. Depuis, les développeurs semblent avoir tenté de minimiser la sévérité de cette attaque, ce qui leur a valu de nombreuses critiques.
S’ils ont rapidement mis en place un « hard fork » d’urgence pour remédier à cette faille, certains observateurs – au premier rang desquels ocminer – estiment qu’il s’agissait tout juste d’un « pansement », et que cette mise à jour ne permettait pas de supprimer la vulnérabilité concernée.
« Il semblerait que @mindgeek ait pris la bonne décision en choisissant d’implémenter une crypto-monnaie sécurisée et robuste », a conclu mardi après-midi Riccardo Spagni, l’un des principaux développeurs de la crypto-monnaie anonyme Monero.
Verge a récemment noué un partenariat avec Pornhub, l’un des plus grands sites de divertissement pour adultes : les internautes peuvent ainsi désormais utiliser des XVGs pour accéder à l’offre premium du site.
Références : CCN, CoinMarketCap