Quand un tweet en Chinois non traduit provoque une tempête dans un verre d’eau. Le 28 juin dans la matinée, surprise sur les réseaux : l’équipe SlowMist, spécialisée dans la cybersécurité blockchain, lâchait l’air de rien une petite bombe sur Twitter. Un simple tweet, en Chinois, non traduit, évoquant l’USDT.
交易所在进行USDT充值交易确认是否成功时存在逻辑缺陷,未校验区块链上交易详情中valid字段值是否为true,导致“假充值”,用户未损失任何USDT却成功向交易所充值了USDT,而且这些 USDT 可以正常进行交易。
我们已经确认真实攻击发生!相关交易所应尽快暂停USDT充值功能,并自查代码是否存在该逻辑缺陷。 pic.twitter.com/EPzZIsZFzH— SlowMist (@SlowMist_Team) June 28, 2018
Alors si vous êtes comme moi, que vous ne parlez pas un mot de Chinois, mais que vous suivez l’USDT et ses tribulations récentes (par exemple leur dernière émission massive d’USDT, qui depuis s’est suivie d’une remontée pas forcément si surprenante du cours du BTC), vous faites ce petit truc assez fou, c’est-à-dire lancer Google Traduction, ce qui vous donne le charabia suivant :
Si la transaction de rechargement de l’USDT présente un défaut logique pour confirmer si la transaction est réussie ou non, si la valeur du champ valide dans les détails de la transaction sur la blockchain n’est pas vérifiée, l’utilisateur a rechargé l’échange sans perdre aucun USDT. USDT, et ces USDT peuvent négocier normalement. Nous avons confirmé qu’une véritable attaque s’est produite ! L’échange concerné devrait suspendre la fonction de recharge de l’USDT dès que possible et vérifier l’existence du défaut logique dans le code.
Alors certes, c’est traduit avec les pieds, mais normalement, à ce moment précis, vous devriez être un peu dérangé par ce que notre ami Google nous dit, sans utiliser le mot approprié : ce tweet chinois, ce ne serait rien de moins qu’une alerte à une double-dépense d’USDT visant un exchange non nommé.
Dans la foulée, la cryptosphère s’emballe, et certains auteurs essaient d’éclaircir la situation, parfois malheureusement en jetant inutilement de l’huile sur le feu, par exemple ici. Omni Protocol, le protocole blockchain monté en seconde-couche par dessus le réseau Bitcoin, et sur lequel repose justement la chaîne Tether et son token USDT, serait donc foncièrement vulnérable à des double-dépenses.
Sauf qu’en fait… ce n’est pas aussi simple.
Les développeurs d’Omni ont donc dû venir éteindre le début d’incendie, en précisant que la faille identifiée ne concernait qu’un exchange spécifique et en particulier ses modalités d’acceptation des dépôts d’USDT, jugés par l’équipe trop sommaires. Quand une transaction prend place sur la chaîne Omni, un champ “valid” spécifie si la transaction doit être justement considérée comme valide, la transaction pouvant être invalide par exemple si le solde au moment de la soumission de la transaction est insuffisant (et pour un certain nombre d’autres raisons que nous ne développerons pas dans cet article).
There was no @Tether_to or @Omni_Layer vulnerability, but rather poor handling of incoming transactions.
CC: @SlowMist_Team @ccm_house @Cointelegraph @coindesk @Bitfinexed pic.twitter.com/87r8PsdWQm
— dexx ⚡️ (@dexx7y) June 29, 2018
La vulnérabilité identifiée par SlowMist ne concerne donc pas la chaîne Tether, ni même le protocole Omni, mais un exchange bien particulier, non nommé, qui n’appliquait pas des règles basiques de vérification de la validité des transactions.
L’exchange en question se basait seulement sur le champ “valid : ?”, qui s’il spécifiait “true” (vrai), entraînait le crédit automatique par l’exchange de tokens USDT correspondant sur le solde du déposant, le tout sans vérification par l’exchange de la validité réelle de cette transaction sur la blockchain Omni (où elle serait nécessairement invalide).
Cela n’est en soi pas tant surprenant, puisque le protocole Omni étant basé sur le réseau Bitcoin, il faudrait théoriquement réussir à réaliser une double-dépense sur ce réseau pour pouvoir en réaliser une sur Omni.
Dans la journée, un seul exchange avait pris la peine de communiquer publiquement à propos de cet incident, OKEx, à travers un message expliquant qu’ils n’étaient pas affectés par l’événement indésirable.
Devant l’émoi sur les réseaux sociaux, SlowMist a également dû prendre à nouveau la parole, avec un nouveau message sur Twitter quelques douze heures plus tard, pour cette fois prendre le temps d’expliquer la vulnérabilité en question, en anglais.
Corrected a bit to explain: This vulnerability is not the USDT's own vulnerability, but some exchange platform' databases do not strictly verify the status of the "valid" parameter.
Please do not panic.
SlowMist Team
— SlowMist (@SlowMist_Team) June 29, 2018
En définitive, tout ça pour quoi ? Pour pas grand chose ; mais la preuve, encore une fois et s’il en était besoin, que les exchanges sont pour le moment la plupart du temps le type d’acteurs où le bât blesse le plus dans le monde des cryptomonnaies. La morale de cette histoire ? Si vous lancez une société d’audit informatique et de cybersécurité, prenez le temps de rédiger vos alertes en anglais.
[es_tradingview symbol=”usdtusd” interval=”D” height=”400″ colors=”Light”]
Sources : Okex || Images from Shutterstock
