Parity fail : le bug était connu et l’équipe s’en excuse
Le wallet multisig Parity était victime la semaine dernière d’une vulnérabilité, bloquant irrémédiablement 513 774.16 éthers répartis sur 584 portefeuilles. Cette vulnérabilité avait été malencontreusement exploitée par un pauvre développeur qui faisait encore ses armes – Devops199 – ce qui avait engendré beaucoup de dégâts. L’équipe de Parity a publié hier un communiqué dans lequel elle s’excuse.
Que s’est-il passé sur Parity ?
La théorie dominante est qu’un développeur inexpérimenté a accidentellement exploité cette vulnérabilité, ce qui lui a donné le contrôle sur le contrat de la bibliothèque Parity. Après avoir obtenu la propriété de ce contrat, devops199 a paniqué et « suicidé » le contrat. Cette fonction a été répliquée sur les autres contrats qui avaient en référence la même bibliothèque. Bien que le bug ait été identifié sur Github en août dernier, il a été mal interprété par l’équipe Parity, et aucune mesure n’avait été prise pour sécuriser davantage les portefeuilles.
Deux voies possibles pour le hard fork
Dans cette dernière mise à jour, Parity indique que son équipe « travaille sur une solution largement acceptée qui permettra de débloquer les fonds ». Depuis, une proposition d’amélioration d’Ethereum – EIP156 – a été faite pour aider les utilisateurs à récupérer les fonds perdus. Comme lors du hard fork ayant suivi la faille du smart contract de The DAO, la proposition 156 ne peut être implanté que via hard fork, ce qui ne rassure pas la communauté d’Ethereum.
Certains développeurs ont fait une proposition qui pourrait satisfaire tout le monde. L’EIP156 pourrait être implanté au même moment que la mise à jour « Constantinople », qui était prévue courant 2018, dans la suite de « Byzance« . Parity a déclaré qu’il appartiendrait à la communauté de prendre cette décision :
« [Nous allons] suivre la volonté de la communauté »
L’équipe de Parity s’excuse
Face à cette situation loin d’être idéale, Parity prend un ton apologétique. Jutta Steiner, fondatrice de Parity déclare ainsi :
« Nous regrettons profondément l’impact de cette situation sur nos utilisateurs et sur la communauté (…) Nous nous efforçons de trouver une solution dans les meilleurs délais et nous tenons à remercier tout le monde pour le soutien que nous avons reçu jusqu’à présent. »
Parity a fait valoir que des « procédures formelles plus étendues » sont nécessaires pour garantir la sécurité des smart contracts, ce qui s’applique non seulement à Parity, mais aussi à l’ensemble de la plateforme Ethereum. La victime principale de cette affaire est l’ICO Polkadot dont l’attaque a bloqué plus de 98 millions de dollars en éther.
Source : Coindesk ; Cryptocoinews