Après l’annonce de failles sur EOS, Daniel Larimer défend son projet

Hier nous vous parlions d’une équipe chinoise de chercheurs en sécurité (Qihoo 360 Technology) qui avait découvert des vulnérabilités dans le code source de la machine virtuelle d’EOS, et dont le mainnet doit être lancé ce 2 juin.

Rappel du tweet de cnLedger

1/ Chinese Internet security giant 360 has found "a series of epic vulnerabilities" in the #EOS platform. Some of the bugs allow arbitrary code to be executed remotely on EOS nodes and even taking full control of the nodes.

Source (in Chinese): https://t.co/pt6nj6EodP

— cnLedger (@cnLedger) May 29, 2018

Dans la même journée, des sources concordantes avaient signalé que l’équipe de développement d’EOS avait comblé les failles en question, qui sinon permettraient à un attaquant de prendre le contrôle de nœuds complets du réseau EOS.
Le feuilleton se poursuit aujourd’hui, avec le signalement d’attaques tentées contre des nœuds EOS qui aurait possiblement exposé accidentellement leurs clés privées suite à une erreur de configuration dans leur API.

Un attaquant unique ciblerait les vulnérabilités connues

Les attaques contre EOS semblent toutes provenir d’une seule adresse IP, qui scanne Internet pour trouver les nœuds EOS. L’attaquant ne cherche pas à exploiter les vulnérabilités reportées hier par la firme de sécurité chinoise, mais plutôt un bug rapporté la semaine dernière par un utilisateur de GitHub, également contributeur EOSIO, sous le pseudonyme de  »noprom ».

Selon lui, une partie de l’API EOS RPC peut exposer à la clé privée de l’utilisateur :

« J’utilise l’API EOS RPC pour développer des dApps, et quand je déverrouille mon portefeuille en utilisant /v1/wallet/unlock, je peux utiliser /v1/wallet/list_keys pour récupérer toutes mes clés. Cela peut créer quelques problèmes de sécurité. »

Ce plugin de wallet est largement utilisé pour les tests, et n’est pas destiné à un environnement en ligne, exposé aux risques de l’Internet.
Actuellement, EOS n’aurait pas de système d’authentification pour protéger l’accès à ce paramètre de l’API, et l’attaquant parcourant Internet semble conscient du bug, et scanne les nœuds EOS pour voir si ce paramètre permet toujours l’accès aux clés privées.

Pendant ce temps, Daniel Larimer défend son projet

Comme nous vous l’avions signalé, dans la mise à jour de l’article d’hier sur les failles découvertes par la firme chinoise, une publication sur Reddit signale que ces failles avaient été réparées.

« Nous avons réparé tous les bugs connus, nous avons un crash dans nos unités de tests en wasm que nous réparons. Ce rapport chinois est du FUD, cela a été réparé avant même que ce soit publié »

Décentralisation ou pilotage bienveillant mais arbitraire ?

Le message de Daniel Larimer s’est transformé en un débat sur la décentralisation et l’arbitrage, un sujet qui a souvent été dans les discussions entourant EOS depuis sa création. Les utilisateurs du subreddit d’EOS ont discuté à la fois des mérites et des limites d’un système reposant trop sur Larimer. Car si les règles de la Constitution régissant EOS sont brisées, qui décidera quelles actions doivent être prises ? Cela ne peut que nous rappeler l’importance de Vitalik Buterin qui a agit en figure d’autorité en décidant de hard fork la blockchain d’Ethereum suite au piratage du smart contract de « The Dao ».

Cette question entre le choix d’un dirigeant/équipe bienveillant et la décentralisation fait tellement débat, qu’un projet directement concurrentiel a même vu le jour : EOS Evolution, qui souhaite adopter une approche décentralisée avec une version modifiée d’EOS qui distribuerait les Droits de Vote de manière égale.

Malgré tous ces événements de dernière minute (qui curieusement arrivent dans les derniers jours avant le lancement), rappelons que EOS, avec son ICO d’un an, a réussi avoir la 4ème plus grande capitalisation du crypto-univers, juste derrière BTC, ETH, XRP et BCH. Gageons qu’il y aura d’autres rebondissements avant et pendant le lancement du mainnet d’EOS, prévu pour ce samedi 2 juin.

[es_tradingview symbol= »eosbtc » interval= »W » height= »500″ colors= »Light »]

Sources : Bitsonline || image from Shutterstock.com