Le réseau IOTA suspendu à cause d’une faille critique, 1 million de dollars détournés ?

So much decentralized, wow – Comme la plupart des réseaux blockchains, IOTA est supervisé par une organisation à but non lucratif devant gérer le développement du projet, en l’espèce la fondation IOTA. Cette dernière a mis en pause le réseau suite à la découverte d’une faille ayant entraîné un vol entre 300 000$ et 1,2M$. 

Extinction des feux

Le mercredi 12 février, la Fondation IOTA publiait un message annonçant que divers rapports de détenteurs de jetons laissaient à croire qu’entre 300 000 à 1,2 million de dollars avaient été dérobés. Seulement une demi-heure plus tard, la fondation a pris la décision de mettre en pause le réseau dans le but de « protéger les utilisateurs ».

Pour ce faire, elle a mis en pause le nœud Coordinateur du réseau, dont elle a le contrôle. Pour rappel, ce nœud permet d’assurer la validité et la finalité des transactions qui sont liées entre elle dans le réseau IOTA. Une définition maison de la décentralisation, en somme.

« Après l’enquête initiale, nous avons décidé de désactiver le coordinateur pour nous assurer qu’aucun autre vol ne puisse se produire jusqu’à ce que nous trouvions la cause de ces vols. Une enquête plus approfondie sera menée sans attendre. », statut le rapport.

Le wallet Trinity en cause

Après une nuit de recherche intense, la fondation IOTA a pu donné plus de précision sur le vol dans le courant de la journée du jeudi 13 février. Selon leurs analyses, environ 10 victimes ont été affectées et toutes auraient récemment utilisé le wallet Trinity, logiciel développé par la fondation elle-même.

Plus tard dans la soirée, les suspicions concernant le wallet Trinity se sont confirmées. En définitive, les développeurs soupçonnent que la faille se situe dans une dépendance utilisée par le wallet Trinity.

Pour les non-développeurs parmi vous, les dépendances sont des programmes qui seront utilisés ensuite par d’autres programmes. Cela permet aux développeurs de réutiliser des bouts de code afin de simplifier diverses étapes du développement… mais peut aussi exposer à des dépendances vérolées volontairement introduites dans les codes open-source de certains projets.

En attendant de résoudre cette affaire, la fondation met en garde les utilisateurs et leur demande de ne pas utiliser le wallet Trinity jusqu’à nouvel ordre. La fondation a également pris le soin de contacter divers plateformes d’échange afin de s’assurer de pouvoir traquer les fonds volés. Au moment de la rédaction de l’article, aucun fond ne semble avoir été transféré ni liquidé sur une plateforme d’échange.

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.