Tether : (fausse) alerte à la double-dépense

Quand un tweet en Chinois non traduit provoque une tempête dans un verre d’eau. Le 28 juin dans la matinée, surprise sur les réseaux : l’équipe SlowMist, spécialisée dans la cybersécurité blockchain, lâchait l’air de rien une petite bombe sur Twitter. Un simple tweet, en Chinois, non traduit, évoquant l’USDT.

Alors si vous êtes comme moi, que vous ne parlez pas un mot de Chinois, mais que vous suivez l’USDT et ses tribulations récentes (par exemple leur dernière émission massive d’USDT, qui depuis s’est suivie d’une remontée pas forcément si surprenante du cours du BTC), vous faites ce petit truc assez fou, c’est-à-dire lancer Google Traduction, ce qui vous donne le charabia suivant :

Si la transaction de rechargement de l’USDT présente un défaut logique pour confirmer si la transaction est réussie ou non, si la valeur du champ valide dans les détails de la transaction sur la blockchain n’est pas vérifiée, l’utilisateur a rechargé l’échange sans perdre aucun USDT. USDT, et ces USDT peuvent négocier normalement. Nous avons confirmé qu’une véritable attaque s’est produite ! L’échange concerné devrait suspendre la fonction de recharge de l’USDT dès que possible et vérifier l’existence du défaut logique dans le code.

Alors certes, c’est traduit avec les pieds, mais normalement, à ce moment précis, vous devriez être un peu dérangé par ce que notre ami Google nous dit, sans utiliser le mot approprié : ce tweet chinois, ce ne serait rien de moins qu’une alerte à une double-dépense d’USDT visant un exchange non nommé.

Vous, en train de tenter de garder votre calme, tout en pensant à vos USDT sur Bitfinex. (allégorie) || Image : Medium

Dans la foulée, la cryptosphère s’emballe, et certains auteurs essaient d’éclaircir la situation, parfois malheureusement en jetant inutilement de l’huile sur le feu, par exemple ici. Omni Protocol, le protocole blockchain monté en seconde-couche par dessus le réseau Bitcoin, et sur lequel repose justement la chaîne Tether et son token USDT, serait donc foncièrement vulnérable à des double-dépenses.
Sauf qu’en fait… ce n’est pas aussi simple.

Les développeurs d’Omni ont donc dû venir éteindre le début d’incendie, en précisant que la faille identifiée ne concernait qu’un exchange spécifique et en particulier ses modalités d’acceptation des dépôts d’USDT, jugés par l’équipe trop sommaires. Quand une transaction prend place sur la chaîne Omni, un champ “valid” spécifie si la transaction doit être justement considérée comme valide, la transaction pouvant être invalide par exemple si le solde au moment de la soumission de la transaction est insuffisant (et pour un certain nombre d’autres raisons que nous ne développerons pas dans cet article).

La vulnérabilité identifiée par SlowMist ne concerne donc pas la chaîne Tether, ni même le protocole Omni, mais un exchange bien particulier, non nommé, qui n’appliquait pas des règles basiques de vérification de la validité des transactions.
L’exchange en question se basait seulement sur le champ “valid : ?”, qui s’il spécifiait “true” (vrai), entraînait le crédit automatique par l’exchange de tokens USDT correspondant sur le solde du déposant, le tout sans vérification par l’exchange de la validité réelle de cette transaction sur la blockchain Omni (où elle serait nécessairement invalide).

Cela n’est en soi pas tant surprenant, puisque le protocole Omni étant basé sur le réseau Bitcoin, il faudrait théoriquement réussir à réaliser une double-dépense sur ce réseau pour pouvoir en réaliser une sur Omni.

Dans la journée, un seul exchange avait pris la peine de communiquer publiquement à propos de cet incident, OKEx, à travers un message expliquant qu’ils n’étaient pas affectés par l’événement indésirable.

Devant l’émoi sur les réseaux sociaux, SlowMist a également dû prendre à nouveau la parole, avec un nouveau message sur Twitter quelques douze heures plus tard, pour cette fois prendre le temps d’expliquer la vulnérabilité en question, en anglais.

Tether-USDTEn définitive, tout ça pour quoi ? Pour pas grand chose ; mais la preuve, encore une fois et s’il en était besoin, que les exchanges sont pour le moment la plupart du temps le type d’acteurs où le bât blesse le plus dans le monde des cryptomonnaies. La morale de cette histoire ? Si vous lancez une société d’audit informatique et de cybersécurité, prenez le temps de rédiger vos alertes en anglais.

[es_tradingview symbol= »usdtusd » interval= »D » height= »400″ colors= »Light »]

Sources : Okex || Images from Shutterstock

Grégory Mohet-Guittard

Je fais des trucs au JDC depuis 2018. En ce moment, souvent en podcast et la tête dans le nuage.