Les attaques « Fake Stake » sur les blockchains Proof-of-Stake

DeFi (Finance Décentralisée) Blockchain

Une équipe d’étudiants rattachée au Decentralized Systems Lab a divulgué une série de vulnérabilités pouvant provoquer l’épuisement des ressources d’un nœud. Ces défaillances affecteraient 26 cryptomonnaies fonctionnant en PoS (proof-of-stake ou preuve d’enjeux). L’équipe a commencé à avertir les équipes de développement dès octobre 2018 de l’existence de ces dysfonctionnements. Elle vient de dévoiler publiquement ces failles.

L’envergure des attaques « Fake stake »

Les cryptomonnaies en preuve d’enjeux, notamment celles basées sur la version PoSv3 sont très similaires à Bitcoin, en ce qu’elles utilisent le modèle des UTXO et les règles de consensus de la plus longue chaîne. La différence principale réside dans le remplacement de la preuve de travail par la preuve d’enjeux. Le PoS à l’avantage de réduire l’impact environnemental de la validation des blocs et d’offrir – en théorie – une meilleure protection face aux attaques 51 %.

La « Fake Stake » fonctionne parceque les implémentations PoSv3 ne valident pas adéquatement les données avant de consacrer les ressources (stockage et mémoire RAM) d’un nœud. La faible intensité des vérifications permet à l’attaquant de remplir un nœud de données factices causant ainsi une surcharge puis un crash.

Plus précisément, c’est la validation des coinstake transactions qui pose problème. Ce terme désigne la série d’actions qui mène à la mise en jeux d’une somme dans un système PoS. L’algorithme de consensus, afin de valider la coinstake transaction, doit vérifier que l’UTXO soit conforme et non dépensé. Sauf que cette information ne se trouve ni dans le bloc ni dans les blocs précédents. La validation de ces transactions est ainsi assez complexe, et la plupart des systèmes PoS contournent ce problème en réalisant une validation approximative. C’est à ce moment qu’intervient la faille de la fake stake attack.

Deux versions d’une même vulnérabilité

L’attaque par la RAM du noeud

L’équipe du Decentralized Systems Lab a constaté la présence de la première version de cette défaillance dans 5 devises : Qtum, Particl, Navcoin, HTMLcoin et Emercoin. Ces 5 protocoles ne vérifient pas les transactions coinstake avant l’engagement des ressources RAM d’un nœud. Ces cryptomonnaies utilisent le système headers first de Bitcoin, dans lequel la propagation des blocs se fait en deux temps, celle du header puis celle du bloc.

Cela fonctionne très bien dans un système PoW. Toutefois, pour le PoS c’est une autre histoire. La transaction coinstake n’est pas contenue dans le header, qui ne peut donc être validé seul. Le nœud stocke donc le header dans sa mémoire vive. Ainsi, l’attaquant peut remplir la RAM du nœud victime et exploiter les failles qui résulteront des bugs.

L’attaque par le disque dur du noeud

La seconde variante fonctionne sur les mêmes bases, mais s’attaque elle au disque dur. Cela peut être d’autant plus problématique, en ce qu’un crash du disque dur peut nécessiter une intervention manuelle pour être relancé. Ces deux vulnérabilités peuvent être exploitées sans avoir de stake dans la devise en question, d’où l’appellation « Fake Stake ».

C’est donc l’association de la fonction « header first » de Bitcoin au système PoSv3 qui crée ces vulnérabilités. Notons que les deux variantes de l’attaque ne fonctionnent pas sur les versions antérieures : PoSv1 et PoSv2.

« Spent Stake attack » : une attaque « Fake Stake » plus subtile

Decentralized Systems Lab a trouvé une seconde façon d’abuser des procédés de vérification incomplets. Ce procédé comprend deux parties. Le système commence par vérifier que le montant de la transaction existe sur la chaîne, mais ne vérifie pas que ce montant ne soit pas dépensé. Puis, il vérifie que le hash corresponde à la cible de difficulté, qui en PoS représente plus un montant qu’une difficulté réelle.

Pour mener à bien cette attaque « spent stake », il faut contourner les deux parties de la vérification. Il convient d’utiliser un montant existant, mais déjà dépensé. Cependant pour contourner la seconde étape du contrôle il faut miner un bloc valide, et donc mettre une somme assez conséquente en jeux.

Mais l’ingéniosité de ces étudiants ne semblant pas connaitre de limites, ils ont développé une technique « d’amplification de mise ». Cette méthode leur permet d’abuser de la validation partielle des blocs pour générer un montant arbitraire de mise apparente et donc miner des blocs.

En effet, selon les chercheurs la mise apparente se réfère à l’ensemble des sorties de transaction de la mise candidate, même celles qui sont déjà dépensées. L’attaquant peut donc créer de multiples transactions en s’envoyant lui-même les pièces. Alors que seule la première de ces transactions devrait être comptabilisée dans la mise, toutes ces « auto-dépenses » sont comptabilisées du fait des procédés de vérification incomplets.

Il suffirait donc d’une mise de 0,01% des pièces en circulations, avec laquelle seraient faites 5000 transactions pour miner des blocs avec une mise apparente de 50% de l’offre totale de tokens disponible. Une fois sa mise amplifiée jusqu’à un montant important l’attaquant peut miner des blocs invalides et remplir les nœuds d’information factices. Ce qui est souvent le but des pirates s’attaquant a une blockchain puisque cela leur permet d’effectuer des doubles dépenses.

Coopération avec les équipes de développement

Au total, 26 cryptomonnaies en PoS ont été examinées pour déterminer l’étendue des vulnérabilités. Seulement 5 sur les 26 ont été affectés par l’attaque basée sur la première vulnérabilité. C’est en cherchant pourquoi seulement une partie fut affectée qu’ils découvrirent la seconde vulnérabilité. Cette dernière est selon les étudiants plus complexe, mais aussi plus intrusive.

Après avoir fait le bilan de leurs découvertes, les étudiants sont entrés en communication avec les équipes des quinze cryptomonnaies affectées les plus susceptibles d’être attaquées. La plupart ont reconnu la vulnérabilité et ont mis en place des palliatifs. Toutefois, une minorité a nié l’existence de vulnérabilité en affirmant que des implémentations récentes avaient déjà résolu ces problèmes. Decentralized Systems Lab note malgré tout que ces remèdes ne remplaceront pas une validation complète. Les attaques « Fake Stake » seront plus complexes à mettre en œuvre, mais les systèmes PoS y restent vulnérables.

Thomas G.

Financier et juriste, je suis passionné par les cryptomonnaies depuis leur apparition sur le Deepweb. Fervent supporter du Bitcoin, je suis convaincu que les devises numériques joueront un rôle déterminant dans l'avenir de nos sociétés. Je m'intéresse tout particulièrement aux aspects financiers et législatifs des cryptomonnaies.

> Plus d'articles de l'auteur(e)

Pour aller plus loin

Avis Binance 2022 : Test et Tuto ultime de l'exchange numéro 1

On ne présente plus Binance, LA plateforme d’échange de cryptomonnaies centralisée (CEX). Quelques années ont suffi pour que l’exchange devance de loin toute la concurrence en terme d’adoption et de volume. Dans cet article, nous verrons en détails ce qu’offre Binance et vous donnerons notre avis afin de vous aider à vous faire votre propre … Continued

Le 13 Nov 2022 à 18h14

Dans la même catégorie

Ondefy, l’application qui facilite l’accès à la DeFi : rencontre avec Gauthier Vila

Le 05 juin 2023 à 14h30

Uniswap DAO rejette la proposition visant à introduire une taxe de protocole

Le 02 juin 2023 à 15h00

Séisme sur Multichain : le CEO a disparu des radars

Le 01 juin 2023 à 15h00

Arbitrum : un hacker sauve les utilisateurs d'Ede Finance

Le 31 mai 2023 à 15h00

Arbitrum : 4 000 ETH envolés sur le protocole Jimbos dans un hack

Le 29 mai 2023 à 16h00

Chaos sur Multichain : la Fondation Fantom explique son retrait massif

Le 26 mai 2023 à 14h00

Multichain dans la tourmente : chute spectaculaire de 30 % après des retards on-chain

Le 25 mai 2023 à 11h10

Cybercriminalité : 70 % de hacks en moins sur ce début d'année 2023

Le 24 mai 2023 à 09h00

Commentaires

2 responses à “Les attaques « Fake Stake » sur les blockchains Proof-of-Stake


Panshir_Lion
"mais les systèmes PoS y restent vulnérables" en fin de dernière phrase n'est pas correct. Tous les PoS ne sont pas concernés, seulement certaines implémentations PoSv3. Ne pas laisser penser que le PoS en général est affecté, cela serait trompeur.
Répondre · Il y a 4 ans

Thomas G.
Bonjour ! Vous avez tout à fait raison, tous les systèmes PoS ne sont pas vulnérables, seuls ceux utilisant la version 3 le sont (PoSv3). Toutefois, je délimite l'envergure des attaques en début d'article où j'ai pris soin de mentionner que seule la version 3 est vulnérable. Je m'excuse si ma conclusion prête à confusion.
Répondre · Il y a 4 ans

Votre email ne sera pas publié. En publiant un commentaire, vous acceptez notre politique de confidentialité.


Recevez un condensé d'information chaque jour