Parity fail : le bug était connu et l’équipe s’en excuse

Trading du CoinTrading du Coin

Le wallet multisig Parity était victime la semaine dernière d’une vulnérabilité, bloquant irrémédiablement 513 774.16 éthers répartis sur 584 portefeuilles. Cette vulnérabilité avait été malencontreusement exploitée par un pauvre développeur qui faisait encore ses armes – Devops199 – ce qui avait engendré beaucoup de dégâts. L’équipe de Parity a publié hier un communiqué dans lequel elle s’excuse.

Que s’est-il passé sur Parity ?

La théorie dominante est qu’un développeur inexpérimenté a accidentellement exploité cette vulnérabilité, ce qui lui a donné le contrôle sur le contrat de la bibliothèque Parity. Après avoir obtenu la propriété de ce contrat, devops199 a paniqué et “suicidé” le contrat. Cette fonction a été répliquée sur les autres contrats qui avaient en référence la même bibliothèque. Bien que le bug ait été identifié sur Github en août dernier, il a été mal interprété par l’équipe Parity, et aucune mesure n’avait été prise pour sécuriser davantage les portefeuilles.

Deux voies possibles pour le hard fork

Dans cette dernière mise à jour, Parity indique que son équipe “travaille sur une solution largement acceptée qui permettra de débloquer les fonds”. Depuis, une proposition d’amélioration d’Ethereum – EIP156 – a été faite pour aider les utilisateurs à récupérer les fonds perdus. Comme lors du hard fork ayant suivi la faille du smart contract de The DAO, la proposition 156 ne peut être implanté que via hard fork, ce qui ne rassure pas la communauté d’Ethereum.

Certains développeurs ont fait une proposition qui pourrait satisfaire tout le monde. L’EIP156 pourrait être implanté au même moment que la mise à jour “Constantinople”, qui était prévue courant 2018, dans la suite de “Byzance“. Parity a déclaré qu’il appartiendrait à la communauté de prendre cette décision :

“[Nous allons] suivre la volonté de la communauté”

L’équipe de Parity s’excuse

Face à cette situation loin d’être idéale, Parity prend un ton apologétique. Jutta Steiner, fondatrice de Parity déclare ainsi :

“Nous regrettons profondément l’impact de cette situation sur nos utilisateurs et sur la communauté (…) Nous nous efforçons de trouver une solution dans les meilleurs délais et nous tenons à remercier tout le monde pour le soutien que nous avons reçu jusqu’à présent.”

Parity a fait valoir que des “procédures formelles plus étendues” sont nécessaires pour garantir la sécurité des smart contracts, ce qui s’applique non seulement à Parity, mais aussi à l’ensemble de la plateforme Ethereum. La victime principale de cette affaire est l’ICO Polkadot dont l’attaque a bloqué plus de 98 millions de dollars en éther.

Source : Coindesk ; Cryptocoinews

Avatar
Directeur de publication du média que vous lisez en ce moment même, je quitte mes fonctions stratégiques de temps en temps, pour écrire des billets d'analyse financière du marché des cryptomonnaies.

2
Poster un Commentaire

avatar
2 Fils de commentaires
0 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
plus récent plus ancien Le plus populaire
trackback

[…] rassurer les utilisateurs « furieux », l’équipe de Parity Technologies (la société qui gère le portefeuille) a tenu à s’excuser avant de déclarer que les fonds gelés n’étaient pas pour autant perdus, et qu’ils étaient […]

trackback

[…] Les bugs sont devenus monnaie courante sur les exchanges, et la plateforme Kraken en a fait les frais en fin d’année dernière. Les utilisateurs ont eu droit à des erreurs fréquentes que ce soit 502 ou 504, les empêchant d’accéder à leurs monnaies numériques. […]