Le hack à 3,6 millions d’ETH qui a changé Ethereum à tout jamais – Les Folles Histoires crypto
Une cicatrice qui s’appelle Ethereum Classic. Dans ce sixième article des Folles Histoires Crypto, nous changeons un peu de cap. Depuis cinq semaines, on vivait dans l’univers Bitcoin : les pizzas de Laszlo, le hack de Mt. Gox, WikiLeaks, le premier crash, le bug des 184 milliards. Cette semaine, on change de blockchain. On entre dans l’univers Ethereum, et on commence par le pire moment de sa jeune histoire. C’est l’histoire du hack de The DAO.
Un fonds de capital-risque sans patron
Printemps 2016. Ethereum a moins d’un an d’existence. La blockchain de Vitalik Buterin vient d’inventer les smart contracts. Ce sont des programmes autonomes qui s’exécutent sans intermédiaire. Mais, une équipe allemande, Slock.it, veut aller plus loin. Leur idée : créer le premier fonds d’investissement entièrement décentralisé, géré non pas par des humains, mais par du code. Ils l’appellent The DAO, pour Decentralized Autonomous Organization.
Le principe est élégant : n’importe qui peut acheter des tokens DAO contre de l’Ether, devenir membre votant, et décider collectivement où investir les fonds. Pas de conseil d’administration. Pas de PDG. Juste du code sur une blockchain. La campagne de financement ouvre fin avril 2016 et dépasse toutes les espérances : 11 000 participants investissent l’équivalent de 150 millions de dollars en Ether. Le plus grand crowdfunding blockchain de l’histoire à ce moment-là.
3,6 millions d’ETH aspirés
Le 17 juin 2016 au petit matin, Christoph Jentzsch, l’un des créateurs de The DAO, est réveillé par un appel de son frère. « Something is wrong. » Il consulte la blockchain. Une transaction se répète, encore et encore, en boucle. Des Ethers quittent The DAO et s’accumulent dans un portefeuille inconnu. En quelques heures, 3,6 millions d’Ethers, environ 60 millions de dollars, ont été aspirés.
L’attaquant avait exploité une faille dans le code : une reentrancy vulnerability, un bug qui permettait de demander un retrait de fonds, recevoir l’argent, puis redemander un retrait avant que le solde ne soit mis à jour. Comme un distributeur automatique qui vous rend de l’argent en boucle si vous appuyez au bon moment. Le problème avait été signalé sur GitHub quelques semaines plus tôt. Personne n’avait encore eu le temps de corriger.
Le dilemme de Vitalik Buterin
Vitalik Buterin se retrouve face à un dilemme que personne n’avait anticipé. Techniquement, le hacker n’a pas « cassé » Ethereum, il a utilisé le code exactement comme il était écrit. Dans la philosophie « code is law » qui dominait alors, l’attaque était presque… légale. Le hacker lui-même publie une lettre ouverte revendiquant les fonds comme légitimes.
« À la DAO et à la communauté Ethereum,
J’ai soigneusement examiné le code de The DAO et j’ai décidé d’y participer après avoir découvert la fonctionnalité qui récompensait le splitting par de l’ether supplémentaire. J’ai fait usage de cette fonctionnalité et j’ai légitimement réclamé 3 641 694 ether, que je remercie la DAO de m’avoir accordés. (…)
Je suis déçu par ceux qui qualifient l’utilisation de cette fonctionnalité intentionnelle de « vol ». J’utilise simplement une fonctionnalité explicitement codée, conformément aux termes du smart contract. Mon cabinet d’avocats m’a conseillé que mon action était parfaitement conforme au droit pénal et civil américain. Pour référence, voici les termes de la DAO :
« Les termes de la création de The DAO sont définis dans le code du smart contract existant sur la blockchain Ethereum à l’adresse 0xbb9bc244d798123fde783fcc1c72d3bb8c189413. Aucune explication des termes, ni aucun autre document ou communication ne peut modifier ou ajouter des obligations ou garanties supplémentaires à celles énoncées dans le code de The DAO. Toute explication ou description n’est proposée qu’à des fins éducatives et ne prévaut pas sur les termes expresses du code de The DAO figurant sur la blockchain ; dans la mesure où vous estimeriez qu’il existe un conflit ou une divergence entre les descriptions proposées ici et le fonctionnement du code de The DAO à l’adresse 0xbb9bc244d798123fde783fcc1c72d3bb8c189413, c’est le code de The DAO qui prévaut et qui définit l’intégralité des termes de la création de The DAO. »
Un soft fork ou un hard fork équivaudrait à une saisie de mon ether légitime et légalement obtenu selon les termes d’un smart contract. Un tel fork ruinerait de façon permanente et irréversible la confiance non seulement dans Ethereum, mais aussi dans l’ensemble du domaine des smart contracts et de la technologie blockchain. (…)
Je me réserve le droit d’engager toute action en justice contre les complices d’un vol, d’un gel ou d’une saisie illégitime de mon ether légitime (…)
J’espère que cet événement deviendra une expérience d’apprentissage précieuse pour la communauté Ethereum, et je vous souhaite à tous la meilleure des chances.
Cordialement, « The Attacker »
Un fork pour sauver Ethereum : la naissance d’Ethereum Classic
Mais 150 millions de dollars de vraies personnes venaient de disparaître. Vitalik propose un hard fork : réécrire l’histoire de la blockchain pour annuler le hack et restituer les fonds. La communauté vote. Environ 85 % des mineurs suivent. Le fork est exécuté le 20 juillet 2016 au bloc 1 920 000.
Mais une minorité refuse. Pour eux, modifier la blockchain rétrospectivement trahit l’essence même de la technologie. Ils continuent sur la chaîne originale. Cette chaîne, on l’appelle désormais Ethereum Classic, et elle existe encore aujourd’hui.
La leçon à 60 millions de dollars
Le hack de The DAO a produit trois choses durables. Il a créé Ethereum Classic, fossile vivant d’une guerre philosophique. Il a lancé toute une industrie d’audit de smart contracts, aujourd’hui indispensable avant tout déploiement sérieux. Et il a posé la question fondamentale à laquelle la communauté crypto continue de répondre différemment selon les jours : quand le code a tort, qui a le droit de corriger ?
Dix ans plus tard, les fonds ETH non réclamés depuis le hack viennent d’être reconvertis en fonds de sécurité Ethereum doté de 130 millions de dollars.
Magali
Tombée dans le terrier du lapin blanc en 2017, je suis passée de lectrice assidue à Rédactrice en chef du Journal du Coin. J’aime m'investir dans les coulisses de projets pour porter ma vision d'un futur décentralisé. Amoureuse des belles lettres, je coordonne nos équipes pour transformer la complexité technique en une information humaine, précise et sans jargon inutile. Entre entrepreneuriat et rédaction, ma mission est claire : vulgariser demain, mais le faire aujourd'hui.
