Breaking : des failles critiques auraient été découvertes sur EOS (MAJ)

Quelques jours avant le lancement du mainnet d’EOS – date de sortie prévue pour le 2 juin – une équipe de chercheurs en sécurité chinoise aurait trouvé d’importantes failles dans le code source.

Note : nous effectuerons un suivi de cette actualité sur ce billet. Conservez le dans la navigateur et suivez notre Twitter et notre Telegram afin d’être informé en direct.

EOS est le réseau permettant de déployer des smart contracts et des applications décentralisées, développé par la firme Block.one. Quelques jours avant la fin des tests finaux, il semblerait qu’une équipe de chercheurs en sécurité de la firme Qihoo 360 Technology Co. Ltd. (connue entre autres pour ses antivirus) ait découvert des vulnérabilités dans le code source de la machine virtuelle d’EOS, qui permettraient à un attaquant de prendre le contrôle des nœuds complets du réseau.

L’information, parue sur le site chinois Weibo, a très vite été relayée par cnLedger sur Twitter.

1/ Chinese Internet security giant 360 has found "a series of epic vulnerabilities" in the #EOS platform. Some of the bugs allow arbitrary code to be executed remotely on EOS nodes and even taking full control of the nodes.

Source (in Chinese): https://t.co/pt6nj6EodP

— cnLedger (@cnLedger) May 29, 2018

En déployant un smart contract au code malicieux, un attaquant pourrait infecter le nœud déployant ce contrat. La faille de sécurité affectera alors tout les nœuds du réseau une fois que l’attaquant aura pris le contrôle du nœud infecté et inscrit le contrat dans les blocs qu’il a produits. Cela lui permettrait, entre autres, d’avoir accès à de nombreuses données sensibles.

L’équipe de Qihoo 360 a précisé qu’une fois ces vulnérabilité signalées à l’équipe d’EOS, une des personnes en charge de déployer le réseau a déclaré que ce dernier ne serait pas lancé officiellement tant que ces problèmes ne seraient pas réglés.

Qihoo 360 a également incité toutes les équipes de développement de l’industrie blockchain à faire preuve de rigueur et à accorder beaucoup de ressources pour assurer la sécurité de leurs réseaux, qui comportent de nombreux vecteurs d’attaque.

Help us find critical bugs in #EOSIO before our 1.0 release. $10K for every unique bug that can cause a crash, privilege escalation, or non-deterministic behavior in smart contracts. Offer subject to change, ID required, validity decided at the sole discretion of Block One.

— Daniel Larimer (@bytemaster7) May 28, 2018

14h52 – les failles auraient été comblés

Selon Cryptorecorder.com, les failles seraient comblées. L’équipe d’EOS aurait envoyé un message sur Reddit :

« Le problème a été réglé le 29. Pas besoin de s’inquiéter. D’après les informations que nous avons obtenues, la vulnérabilité signalée par 360 a été réparée. »

La source est absente de l’article mais lorsque l’on se rend sur le Github du projet, le problème apparait comme étant résolu :