S’offrir 1 milliard de dollars, en un clic ? Cette vulnérabilité sur Ethereum fait faire la grimace aux crypto-bourses !
Une vulnérabilité de type fake deposit constitue une menace pour de nombreux tokens Ethereum (ERC-20) d’après des chercheurs. Le risque est sérieux pour les crypto-bourses dont les tokens vulnérables pourraient ainsi faire l’objet de transactions frauduleuses.
Les exchanges doivent déjà composer avec la menace de pirates, bien décidés à dérober les crypto-monnaies de leurs clients. Il leur faut aussi tenir compte de vulnérabilités logicielles inhérentes aux tokens eux-mêmes.
Une étude associant des chercheurs chinois et australiens tire ainsi la sonnette d’alarme. Ces experts ont une faille exposant un milliard de dollars de tokens ERC-20 de la blockchain Ethereum.
Notre avis sur Ethereum (ETH) »
La faille fake deposit identifiée dès 2017
Ce scénario d’attaque, baptisé fake deposit, tire profit d’une faille dans le standard. Si une mise à jour est disponible depuis 2017, tous les tokens reposant sur ce standard ne disposent cependant pas du correctif.
Et la menace est jugée très sérieuse pour les services de trading ou crypto-bourses, qui listent ces tokens vulnérables sur leurs plateformes d’échange. La faille logicielle permet à un attaquant de modifier le code des smart contracts ou d’utiliser des scripts contre des tokens correspondant à des cryptomonnaies basées sur Ethereum.
Cette technique permet de profiter des faiblesses des méthodes de contrôle des transactions associées. Le résultat : c’est l’opportunité pour un pirate de dérober des montants « exorbitants » auprès des exchanges pour un coût « pratiquement nul ».
L’attaque par faux dépôt pourrait aller jusqu’à provoquer la faillite d’une bourse et entraîner la perte des fonds des détenteurs des jetons ERC-20.
« Si l’attaque du faux dépôt est conduite, c’est la garantie d’un désastre pour le token. Dans le pire des cas, le token doit être réémis. » – Haoyu Wang, un des chercheurs chinois.
Apporter une réponse à cette menace n’est cependant pas une mince affaire. Cela suppose en outre la participation active des exchanges. Il appartient notamment à ces derniers de renforcer leurs contrôles sur les tokens vulnérables à cette attaque de fake deposit.
Inclure les tokens vulnérables dans la liste noire
Fabian Vogelsteller, développeur Ethereum et créateurs des coins ERC-20, propose une solution plus radicale. Il suggère en effet aux bourses de crypto-monnaies d’inclure les smart contracts concernés dans la liste noire pour prévenir toute malveillance.
La perte d’activité pour les exchanges serait sans doute acceptable. Les tokens vulnérables, comme CloudBric, MovieCredits, BullandBear et LOVE, font en effet l’objet d’un faible volume de transactions.
Toutefois, les chercheurs avancent d’autres propositions. Une solution consisterait à émettre un second smart contract ou « proxy ». Cette approche permettrait ensuite de remplacer les anciens contrats intelligents Ethereum. Mais cette alternative comporte elle aussi des risques liés à la sécurité.
Depuis la publication de l’étude, trois exchanges décentralisés (IDEX, DDEX et Ether Delta) ont corrigé cette vulnérabilité. D’autres bourses continuent néanmoins de lister ces tokens à risque. C’est le cas notamment de Binance et Coinbase. Sur ces exchanges centralisés, les tokens vulnérables équivalaient à 1,1 milliard de dollars en avril.