Ethereum : Lido découvre une vulnérabilité qui menace les validateurs

À deux doigts de la catastrophe. Lido Finance est un protocole dit de liquid staking sur Ethereum. Ainsi, celui-ci réunit de manière décentralisée les stakers qui déposent leurs ETH et les opérateurs de nœuds. Cependant, une récente faille aurait pu entraîner la perte de milliards de dollars.

Une faille sur un opérateur de nœud Lido

Comme nous l’avons abordé en introduction, Lido est un protocole de staking décentralisé. Celui-ci réunit deux acteurs du marché. D’une part les détenteurs d’ETH qui veulent déposer leurs ETH en staking. De l’autre, les validateurs qui opèrent des nœuds validateurs en utilisant les ETH des stakers comme collatéral.

Le 22 novembre, la DAO de Lido a dévoilé qu’une vulnérabilité avait été découverte auprès de l’un des opérateurs de nœuds du réseau : InfStones.

Annonce de Lido sur Twitter
Lido annonce la résolution de la vulnérabilité – Source : X (Twitter).

Pour comprendre la situation, revenons quelques mois en arrière. Ainsi, en juillet 2023, l’entreprise dWallet Labs alerte InfStones après avoir découvert une vulnérabilité.

En pratique, la vulnérabilité aurait pu être exploitée pour dérober les clés privées de certains validateurs sur Ethereum. Selon dWallet cela représenterait 1,2 % des validateurs sur Ethereum.

>> Vous cherchez une solution pour stocker vos crypto loin des exchanges ? <<
<strong>Gagnez des BTC pendant le Black Friday avec Ledger </strong>
Gagnez des BTC pendant le Black Friday avec Ledger

Détails de la vulnérabilité

Comme expliqué par dWallet Labs dans sa publication, la faille se situait dans la librairie open-source Talion.

En effet, Talion est exécuté en tant qu’administrateur sur les machines. De plus, celui-ci permet d’exécuter du code arbitraire sur la machine. Les chercheurs de dWallet Labs ont ainsi associé les deux pour exploiter la vulnérabilité.

Pour cela, ils ont scanné le réseau à la recherche de nœuds vulnérables. Ils ont trouvé plusieurs nœuds InfStone qui écoutaient sur le port 55555. Après quelques manipulations supplémentaires, ils ont réussi à récupérer l’identifiant et le mot de passe permettant de se connecter au serveur.

« À ce stade, nous avons le contrôle total d’environ 80 nœuds, dont certains sont des validateurs, et nous sommes en mesure d’exécuter du code sur chacun d’entre eux. Nous avons immédiatement contacté InfStones (c’était au début du mois de juillet 2023) et leur avons signalé cette vulnérabilité initiale. »

Explique dWallet Labs.

De son côté, InfStones a directement pris les mesures nécessaires. Effectivement, ils ont désactivé le port 55555 sur l’ensemble de leurs nœuds et retiré la librairie Talion de leurs systèmes.

Enfin, ils ont effectué une rotation complète des clés et des informations d’authentification des nœuds affectés.

« En outre, nous avons invalidé et modifié toutes les informations d’identification sur les instances de nœuds affectées afin d’atténuer toute exposition potentielle et de sécuriser notre système contre les menaces latentes. »

Explique InfStones.

De son côté, le protocole Lido se veut rassurant. En effet, celui-ci assure à ses clients que rien n’indique que des clés aient fui ou aient été compromises.

Ainsi, tout est bien qui finit bien et le pire a pu être évité. D’autant plus qu’un hack de Lido aurait été une catastrophe pour l’écosystème. Hé oui, Lido est le principal fournisseur de staking sur Ethereum. Pourtant, ses concurrents tentent de limiter leur impact pour réduire la centralisation. Une affaire qui ne semble pas intéresser Lido.

Profitez de l'offre Black Friday de Ledger et gagnez du BTC avec ce lien affilié
<strong> Achetez votre Ledger Flex maintenant</strong>
Achetez votre Ledger Flex maintenant

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.