Stellar (XLM) et le bug d’inflation à 10 millions de dollars

Collectionnez les articles du JDC en NFT

Collecter cet article

2,25 milliards de XLM sortis de nul part, le Venezuela n’a qu’à bien se tenir – Messari, le média faisant la chasse aux crypto-capitalisations trompeuses, a dévoilé mercredi que Stellar (XLM) ferait partie du club des crypto-actifs aux yeux plus gros que le ventre.

En cause ?

Un embonpoint inflationniste, et pas des moindres : ce seraient près de 2,25 milliards de XLM frauduleux qui auraient été générés puis déversés sur les plateformes de change pendant la première moitié de l’année 2017. Le montant du butin se chiffre autour de 10 millions de dollars à la revente.

La vague inflationniste frappe encore

Messari annonce en préambule se lancer dans des explorations plus poussées concernant Stellar par acquit de conscience : il faut dire qu’il a été fortement reproché au média d’avoir réévalué la masse monétaire circulante du Ripple à la hache, sans appliquer pour autant cette logique à d’autres actifs de la cryptosphère.

Si l’argument avait surtout la force de la mauvaise foi dans le contexte bien particulier de la fameuse crypto au ricochet, il n’en demeurait pas moins vrai.

C’est donc plein d’entrain que Messari s’est lancé sur les traces des XLM surnuméraires… Et ils les ont vraisemblablement trouvés.

Après notamment ZCash (ZEC) ou encore Bitcoin Private (BTCP), c’est donc le XLM qui aura souffert d’un bug inflationniste, découvert début avril 2017 par la Stellar Development Foundation (SDF).

La libre concurrence fait des siennes

L’inflation délictueuse a été rendue possible selon Messari par un bug dit de concurrence critique, dans la fonction “MergeOPFrame::doApply” du protocole. Cette fonction est originellement prévue pour gérer le transfert de fonds d’un compte source à un compte récipiendaire, en supprimant le compte source à la fin de la transaction.

Il est donc capital que ce procédé de fusion de comptes soit mené correctement à bien, et c’est le rôle de la fonction “MergeOPFrame::doApply” en tant normal.

Cependant, début avril 2017, la SDF se serait rendu compte que la fonction en question était… dysfonctionnelle.

En effet, le bug identifié permettait en cas d’appels multiples de cette fonction dans la même milliseconde de gagner le gros lot : le compte source initial se trouvait alors multiplié en autant de comptes récipiendaires que d’appels de la fonction.

[arve model=”gif” url=”https://journalducoin.com/app/uploads/2019/03/video-free-money-argent.mp4″ align=”center” promote_link=”no” autoplay=”yes” maxwidth=”480″ controlslist=”nodownload” controls=”no” loop=”yes” muted=”yes” /]

Le rêve de bien des gouvernements gourmands, à n’en pas douter.

Une fondation franche en interne, mais taiseuse par principe

Si la nouvelle fait grand bruit, Messari précise que ce n’est pas parce que la SDF aurait tenté de cacher la poussière sous le tapis : en effet, même si la fondation n’est pas allé initialement jusqu’à une annonce publique, elle aurait selon ses dires simplement traité le bug comme un autre.

Selon un représentant de l’entreprise, Christian Rudder, cité par Messari, la SDF aurait “signalé par deux fois le bug dans ses releases notes” à destination de la communauté open source crypto “tout en précisant que cette vulnérabilité avait été exploitée”.

Le média relève cependant que l’amplitude du larcin était pourtant restée, elle, relativement confidentielle.

Total de tokens XLM surnuméraires créés entre le 24 janvier et le 8 avril 2017, source : rapport Messari.

La faille aurait ainsi été exploitée 110 fois, pour un total de 2,2 milliards de XLM créés, puis écoulés sur les places de marché crypto pour une valeur de 10 millions de dollars sur la première partie de l’année 2017.

Un savant système est décrit : des comptes sources furent dupliqués puis fusionnés dans des adresses de relai, tandis qu’en parallèle des adresses de répartition furent générées pour brouiller les pistes en distribuant certaines parties des fonds créés.

Pour limiter la casse, la fondation prendra par la suite la décision de brûler sur ses réserves le surplus de tokens illicitement généré.

Entre le 7 et le 12 avril 2017, l’équivalent inflationniste sera détruit par la SDF.

Bizarre, vous avez dit… bizarre ?

Une particularité est cependant relevée dans le rapport Messari, et elle est étonnante.

Le 8 avril, alors que les premiers signalements et les premiers patches partiels émergent dans les canaux de développeurs de la SDF, un autre exploit similaire mineur est détourné pour permettre la création de 255 millions de nouveaux XLM.

Les fonds générés sont cette fois envoyés vers des adresses supposément liées à la SDF, selon Messari.

Le rapport Messari se conclut comme le précédent, sur un appel à la libre entreprise dans un écosystème crypto auto-régulé… mais sous l’oeil avisé d’analystes qui ne laissent rien passer.

Le mot de la fin revient à M. Rudder, de la SDF : que tout un chacun se rassure, “une comptabilité exhaustive des XLM détenus par la Fondation sera proposée d’ici à la fin de l’année, et toute la lumière sera alors faite sur l’affaire en question”.

Rendez-vous est pris.

[es_tradingview symbol=”bitfinex:xlmusd” interval=”D” height=”500″ colors=”Light”]

Grégory Mohet-Guittard

Je fais des trucs au JDC depuis 2018. En ce moment, souvent en podcast et la tête dans le nuage.

Commentaires

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour