Ethereum : Lido découvre une vulnérabilité qui menace les validateurs
À deux doigts de la catastrophe. Lido Finance est un protocole dit de liquid staking sur Ethereum. Ainsi, celui-ci réunit de manière décentralisée les stakers qui déposent leurs ETH et les opérateurs de nœuds. Cependant, une récente faille aurait pu entraîner la perte de milliards de dollars.
Une faille sur un opérateur de nœud Lido
Comme nous l’avons abordé en introduction, Lido est un protocole de staking décentralisé. Celui-ci réunit deux acteurs du marché. D’une part les détenteurs d’ETH qui veulent déposer leurs ETH en staking. De l’autre, les validateurs qui opèrent des nœuds validateurs en utilisant les ETH des stakers comme collatéral.
Le 22 novembre, la DAO de Lido a dévoilé qu’une vulnérabilité avait été découverte auprès de l’un des opérateurs de nœuds du réseau : InfStones.
Pour comprendre la situation, revenons quelques mois en arrière. Ainsi, en juillet 2023, l’entreprise dWallet Labs alerte InfStones après avoir découvert une vulnérabilité.
En pratique, la vulnérabilité aurait pu être exploitée pour dérober les clés privées de certains validateurs sur Ethereum. Selon dWallet cela représenterait 1,2 % des validateurs sur Ethereum.
Détails de la vulnérabilité
Comme expliqué par dWallet Labs dans sa publication, la faille se situait dans la librairie open-source Talion.
En effet, Talion est exécuté en tant qu’administrateur sur les machines. De plus, celui-ci permet d’exécuter du code arbitraire sur la machine. Les chercheurs de dWallet Labs ont ainsi associé les deux pour exploiter la vulnérabilité.
Pour cela, ils ont scanné le réseau à la recherche de nœuds vulnérables. Ils ont trouvé plusieurs nœuds InfStone qui écoutaient sur le port 55555. Après quelques manipulations supplémentaires, ils ont réussi à récupérer l’identifiant et le mot de passe permettant de se connecter au serveur.
« À ce stade, nous avons le contrôle total d’environ 80 nœuds, dont certains sont des validateurs, et nous sommes en mesure d’exécuter du code sur chacun d’entre eux. Nous avons immédiatement contacté InfStones (c’était au début du mois de juillet 2023) et leur avons signalé cette vulnérabilité initiale. »
Explique dWallet Labs.
De son côté, InfStones a directement pris les mesures nécessaires. Effectivement, ils ont désactivé le port 55555 sur l’ensemble de leurs nœuds et retiré la librairie Talion de leurs systèmes.
Enfin, ils ont effectué une rotation complète des clés et des informations d’authentification des nœuds affectés.
« En outre, nous avons invalidé et modifié toutes les informations d’identification sur les instances de nœuds affectées afin d’atténuer toute exposition potentielle et de sécuriser notre système contre les menaces latentes. »
Explique InfStones.
De son côté, le protocole Lido se veut rassurant. En effet, celui-ci assure à ses clients que rien n’indique que des clés aient fui ou aient été compromises.
Ainsi, tout est bien qui finit bien et le pire a pu être évité. D’autant plus qu’un hack de Lido aurait été une catastrophe pour l’écosystème. Hé oui, Lido est le principal fournisseur de staking sur Ethereum. Pourtant, ses concurrents tentent de limiter leur impact pour réduire la centralisation. Une affaire qui ne semble pas intéresser Lido.