Ethereum attaqué pour le Nouvel An : le client Parity patché en urgence
La fête a bien failli être gâchée – C’est la nouvelle année, et on ne change pas une équipe qui gagne : voilà à nouveau le client Ethereum Parity sous le feu des projecteurs. Alors que vous prépariez tranquillement votre réveillon, du côté des développeurs du second client Ethereum (approximativement 23% du réseau à l’heure d’écrire ces lignes), c’était une autre paire de manches : l’alerte était donnée, des petits malins tentaient une attaque.
Rester dans le déni
Comme tout client logiciel, Parity n’est pas exempt de bugs plus ou moins divers et variés. L’implémentation-phare du client Ethereum a d’ailleurs assez régulièrement fait la Une de votre crypto-média favori, notamment lorsque des vulnérabilités ont été rapportées concernant des risques d’attaques par déni de service (DDoS).
Ces épisodes avaient notamment provoqué certains débats dans la cryptosphère : même lorsque des failles sont repérées et des correctifs apportés, il peut se passer beaucoup de temps avant que ces derniers ne soient appliqués par la communauté disparate des opérateurs de nœuds. Pour autant, ce problème ne concerne pas Parity uniquement, mais bien les projets cryptos dans leur ensemble.
Réagir dans l’urgence
Et voilà que le 31 décembre, divers commentateurs ont réagi sur les réseaux sociaux pour alerter sur un phénomène étrange : une part importante des nœuds Parity passait hors-ligne et n’était plus réactive.
Les développeurs Parity n’ont pas tardé à réagir : devant une « possible attaque », des patchs correctifs (v2.6.8-beta & v2.5.13-stable) ont été annoncés et mis à disposition des opérateurs de nœuds concernés.
Comme l’ont expliqué certains commentateurs, l’attaque cherchait bien à mettre hors-jeu les nœuds Parity en question : le but était de leur faire parvenir un bloc à valider, lequel contenait des transactions invalides mais un en-tête de bloc récapitulatif valide. Du fait de l’incompatibilité apparente entre les deux composantes du bloc (en-tête et bloc à proprement parler), ce dernier se trouvait rejeté et invalidé par les nœuds validateurs.
Au final, les nœuds attaqués crashaient et se trouvaient mis hors-ligne. Une situation passagère, semble-t-il désormais réglée. Jusqu’à la prochaine tentative ?