- Ces derniers mois, la chute des crypto-marchés et le départ de mineurs a suscité l’apparition de failles de sécurité sur certains « petits » crypto-réseaux.
- Le dernier projet en date à avoir été victime d’une attaque est le Vertcoin – une initiative qui aurait permis aux pirates d’effectuer 100 000 dollars de doubles dépenses.
Des « petits » crypto-réseaux vulnérables
Du fait de la baisse du prix des crypto-monnaies et de la diminution de taux de hachage qui en a découlé – des mineurs jusqu’ici très marginalement profitables ont été débranchés –, certains « petits » crypto-réseaux sont devenus particulièrement vulnérables à des attaques des 51%.
Ces offensives, menées par des individus contrôlant, à un instant t, plus de 50% de la puissance de calcul allouée à un réseau, vont leur permettre de conduire des attaques de double dépense.
Si les principaux actifs numériques ont été à l’abri de ces offensives, ce n’est pas le cas de réseaux plus confidentiels, pour lesquels le coût de telles attaques est relativement faible. Cette année, plusieurs crypto-monnaies en ont d’ailleurs déjà fait les frais, comme le Bitcoin Gold, le Verge ou le ZenCash.
D’autant que des places de marché telles que NiceHash offrent la possibilité de louer de la puissance de hachage, permettant ainsi potentiellement d’attaquer certains réseaux sans avoir à acheter de matériel.
83 dollars par heure pour attaquer le Vertcoin
Certains sites comme Crypto51 permettent de connaître les coûts de telles offensives.
Si ces chiffres restent très théoriques, et ne prennent pas en compte certaines considérations d’ordre pratique, ils peut être intéressant de les garder à l’esprit – en particulier lorsqu’ils concernent des blockchains relativement confidentielles qui s’appuient sur les mêmes algorithmes de hachage que des réseaux bénéficiant d’une puissance de calcul importante.
On apprend notamment qu’une attaque menée contre le Vertcoin ne coûterait théoriquement que 83 dollars par heure – d’autant que les ressources proposées par NiceHash seraient suffisantes pour la tenter.
Le Vertcoin est d’ailleurs la dernière crypto-monnaie en date à avoir fait l’objet d’une attaque de double dépense. Ce projet, soutenu par la communauté de recherche MIT Digital Currency Initiative, avait notamment implémenté le Lightning Network cette année.
Selon un article publié dimanche par l’ingénieur Mark Nesbitt, cette attaque aurait causé des doubles dépenses sur une « profondeur » de plus de 300 blocs, ce qui correspondrait à 100 000 dollars de pertes pour le réseau.
Le réseau Vertcoin aurait été attaqué à quatre reprises depuis octobre. Cette dernière offensive était toujours en cours dimanche dernier, lors de la publication de l’article de M. Nesbitt.
Une « ASIC resistance » à double tranchant
Les premières victimes de ces attaques peuvent être les plateformes d’échange, qui vont créditer un dépôt au pirate, avant que celui-ci « n’efface » sa transaction sur la blockchain.
C’est d’ailleurs la raison pour laquelle certains d’entre elles ont décidé d’augmenter le nombre de confirmations nécessaires (parfois jusqu’à plusieurs centaines) pour pouvoir créditer un dépôt, afin de limiter le risque que la transaction effectuée par l’utilisateur ne soit liée à une double dépense.
Notons par ailleurs que, dans son article, M. Nesbitt indique que l’une des principales propositions de valeur mises en avant par de « petites » crypto-monnaies comme le Vertcoin concerne parfois la décentralisation. Celle-ci serait favorisée par la mise en place d’une « ASIC resistance » – une fonctionnalité qui permet de rendre plus difficile l’utilisation de puces spécialisées par les mineurs.
Voici d’ailleurs l’explication présentée par les équipes à l’origine du Vertcoin pour cette « ASIC resistance » :
« Si le minage n’était qu’une simple méthode de distribution, alors les individus devraient avoir la possibilité d’utiliser les équipements les plus puissants, à savoir les ASICs. Le Vertcoin part d’un principe à long terme selon lequel le minage qui s’appuie sur des périphériques fournissant des taux importants de hachage ne permettra jamais d’atteindre un niveau approprié de décentralisation, du fait du marché actuel de tels périphériques ».
Le revers de la médaille ? N’importe quel utilisateur ayant à sa disposition des cartes graphiques généralistes peut tenter une attaque contre le coin concerné par cette « ASIC resistance » :
Références : TheBlock, Bitcoinist