Un « bug critique » trouvé dans les « smart-contract » liés à l’Ethereum

Des hackers ont trouvé la combine parfaite : ils ont réussi à s’introduire légalement dans le code de l’ERC-20 et à produire un nombre anormal de jetons. En réponse, Okex, la 3e plateforme mondiale d’échanges de cryptos a stoppé toutes transactions en ERC-20.

Cette une nouvelle qui pourrait affecter définitivement le cours de l’Ethereum. Okex, la troisième plus grande plateforme d’échanges de cryptomonnaies au monde a suspendu tous les dépôts d’ERC20 ce 25 avril après que les développeurs aient découvert ce qu’ils appellent un « bug dans les contrats intelligents« . 

Des jetons vulnérables à des manipulations de valeur 

Pour rappel, le technologie blockchain permet de mettre en place ce qui est communément appelé des « contrats intelligents« . Cette liste d’actions prédéfinies est immuable et s’active dès lors que toutes les conditions sont remplies, tout en réduisant le nombre d’intermédiaire et les délais de transferts. On peut ainsi très bien imaginer inscrire une prestation quelconque dans une blockchain. La prestation effectuée, l’argent serait alors viré automatiquement.

Si la technologie des « smart contracts » paraît bien sécurisée, il n’est pas impossible que le code sur lequel elle repose possède des erreurs. C’est ce sur quoi ont mis la main quelques hackers. Ainsi, les contrats intelligents possédaient une faille qui permettait de passer une valeur fictive extrêmement élevée en bourse et de tout convertir en un nombre très important de jetons.

Ainsi, la ligne incriminée permettait de de créer une nouvelle valeur en multipliant cnt et _valeur. Les pirates ont utilisé cette faille pour fixer la valeur à huit vingtillions, soit 8 et 63 zéros ! Le nombre de jetons produit a alors explosé. Les cryptos étant régies par le la règle de « le code est la loi », ces transactions sont techniquement…légitimes !

En réponse, la société Okex a alors stoppé toutes les transactions en ERC-20. Pour l’instant, les développeurs sont incapables de remédier au problème. 

Seulement, ce bug vient le lendemain d’une attaque qu’on subit de nombreux utilisateurs des portefeuilles MyEtherWallet. Ces derniers ont été vidés par des hackers après une interaction avec un site web malveillant suite à une faille de DNS. 

Okex explique que « pour protéger l’intérêt public, nous avons décidé de suspendre les dépôts de tous les jetons ERC-20 jusqu’à ce que le bogue soit corrigé. De plus, nous avons contacté les équipes affectées pour mener l’enquête et prendre les mesures nécessaires pour prévenir l’attaque« .

1 commentaire sur Un « bug critique » trouvé dans les « smart-contract » liés à l’Ethereum

  1. Quel article sensationnaliste truffé d’erreurs et de faux raccourcis. J’invite les lecteurs à consulter des sites plus fiables pour tout ce qui concerne les blockchain.

    Il faut faire la différence entre les bugs dans le protocole Ethereum et les bugs au niveau des smart contracts (contrats intelligents). Dans ce cas, il ne s’agit aucunement d’un bug au niveau de la blockchain (=protocole) Ethereum mais au niveau d’une dizaine de smart contracts peu populaires qui ont implémenté le standard ERC-20. Sur Ethereum n’importe qui peut déployer un smart contract. En l’occurrence les smart contracts incriminés ont été déployés par des développeurs amateurs avec un code qui n’a pas été audité, car il s’agit pourtant d’une vulnérabilité basique. Il n’y a donc aucune faille au niveau du protocole Ethereum.

    Je passe sur toutes les imprécisions par manque de temps mais l’auteur ferait bien d’approfondir ses connaissances en matière de blockchain avant de publier d’autres articles sur le sujet.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Hey, salut toi le lecteur de Décider et Entreprendre.


Ça fait maintenant deux ans que D&E existe et continue de se développer. Et le tout, sans jamais avoir reçu de subvention. Alors depuis maintenant un mois, D&E a décidé et entrepris d'intégrer quelques publicités sur sa homepage, mais aussi au cœur de ses articles. Car D&E rémunère ses équipes.


Derrière D&E se cachent des journalistes, des développeurs informatiques, des responsables communications, mais aussi des éditorialistes de passage. Tout ce petit monde travaille d'arrache-pied pour ramener de l'information fraîche, des points de vues tranchés, mais argumentés et autres gaudrioles à l'un des seuls médias en ligne complètement indépendant, à la ligne éditoriale libre, mais aussi en plein développement.


Alors, voilà, aujourd'hui, cher lecteur, on te demande un petit geste de pas grand-chose. Non, range ton portefeuille (bien que l'on accepte aussi les dons). Non, on te demande juste de désactiver ton bloqueur de pub (Ad-Block, AdThwart, Webmail Ad blocker, etc) le temps de ta navigation sur notre site ou de mettre une exception de blocage qui concerne D&E.


Le simple fait d'afficher les pubs sur notre site nous permet de rémunérer nos « incroyables » équipes. Promis, les publicités ne sont pas invasives ni agressives. On peut même les cacher si on veut (avec la petite croix dessus).


Ça nous ferait vraiment plaisir et ça permettrait qu'on s’achète notre table de ping-pong continue à écrire librement, à titiller les puissances en place, mais aussi à proposer d'autres pistes de réflexion sur des sujets habituellement traités par les médias subventionnés.


Un petit geste pour toi, mais un grand pas pour Décider & Entreprendre.


Merci à toi, ô lecteur de D&E. Et bonne lecture.

Lire les articles précédents :
Médecine traditionnelle / alternative : quatre médecins signataires de la tribune convoqués par l’Ordre

Quelques semaines après que l'Ordre des médecins aient reçus nombre de plaintes concernant les signataires de la tribune "anti fake-médecine",...

Fermer