Parity fail : bref état des lieux

Trading du CoinTrading du Coin

Hier, devops199 a “accidentellement” gelé tous les portefeuilles Parity déployés depuis le 20 juillet. La liste des utilisateurs touchés augmente d’heure en heure. Les annonces pleuvent de toutes parts pour rassurer les investisseurs.

Les victimes du “Parity fail”

Iconomi aurait une partie de ses fonds bloqués

Le montant estimé serait de 114 000 ETH. L’équipe a accès à d’autres portefeuilles avec des actifs numériques pour une valeur totale de 85 millions de dollars.

La solution proposée par l’équipe d’Iconomi est un hard fork pour rectifier le problème :

“À mon avis, un Hard Fork prévu à une date ultérieure pourra très probablement résoudre ce problème. Il n’ y a pas d’exigence directe pour qu’un hard fork se produise maintenant, mais il est certainement possible de corriger ce problème dans les futures mises à jour d’Ethereum.”

Ethereum Classic non concerné

Ethereum Classic a fait remarquer qu’ils n’étaient pas affecté par la vulnérabilité, en raison de l’absence du même type de “bibliothèque” à l’origine de la faille.

“Sur Ethereum Classic, la bibliothèque de portefeuille n’est pas déployée et la recherche de walletLibrary.v.2 ne renverrait rien.”

L’ICO de Polkadot

Polkadot a été le plus durement touché. L’ICO avait pris fin le 27 octobre, et la plupart des fonds récoltés sont gelés dans un portefeuille Parity. L’ICO de Polkadot avait recueilli 130 millions de dollars. Et comme Polkadot est un projet de Parity, le fournisseur de portefeuille en est d’autant plus affecté.

“Le portefeuille multi-sig concerné ne contient pas tous les fonds de la Fondation Web3; notre capacité à construire Polkadot comme prévu et selon le calendrier initial n’a pas été affectée.”

OmiseGo et TenX ont indiqué qu’ils n’étaient pas affectés par la vulnérabilité.

La communauté Ethereum touché de plein fouet par le “Parity fail”

Devops199 : programmeur maladroit ou hackeur malintentionné ?

“N’importe qui peut tuer votre contrat” ; J’ai accidentellement tué le smart contract 0x863df6bfa4469f3ead0be8f9f9f2aae51c91c91a907b4.

A la lecture du sujet sur Github ouvert par notre cher devops199, – qui a aujourd’hui acquis une notoriété internationale – tout laisse croire à une maladresse. Celui-ci en appelant la fonction “initWallet” est devenu propriétaire du contrat. Il a ensuite utilisé la fonction “suicide” pour détruire le contrat – qui n’aurait pas tenté ? – et à sa grande surprise, a réussi. Tout laisse donc croire que ces 500 000 ETH ont disparus suite à une simple erreur de programmation. Cela en dit long sur la sécurité d’Ethereum

Le communiqué de Parity

Suite à la correction de la vulnérabilité multi-sig qui avait été exploitée le 19 juillet dernier (visibilité des fonctions), une nouvelle version du contrat de bibliothèque Parity Wallet a été déployée le 20 juillet. Malheureusement, ce code contenait une autre faille encore inconnue à l’époque – il était possible de transformer le contrat de la bibliothèque Parity Wallet en portefeuille multi-sig et d’en devenir propriétaire en appelant la fonction initWallet. Nous comprenons aujourd’hui que cette vulnérabilité a été déclenchée accidentellement le 6 novembre 2017 02:33:47 PM +UTC et qu’un utilisateur a ensuite supprimé le porte-monnaie de la bibliothèque, supprimant le code de la bibliothèque, ce qui a rendu inutilisables tous les contrats multi-sig, et les fonds ont été gelés, puisque leur logique de fonctionnement (toute fonction de modification d’état) s’appuyait sur cette bibliothèque.

Tous les portefeuilles multi-sig dépendants qui ont été déployés après le 20 juillet sont désormais présentés de la manière suivante:

Cela signifie qu’actuellement, aucun fonds ne peut être retiré des portefeuilles multi-sig.

Hard fork or not ?

La communauté fait face à une nouvelle débâcle semblable au hack de The DAO en 2016. Le prix de l’Ethereum pourrait en souffrir, ainsi que la crédibilité de l’ensemble du projet. Un Hard Fork pour la récupération des tokens gelés serait considéré comme un “renflouement” pour Parity, comme le voient les utilisateurs de Reddit.

Source : cryptovest.com

Romain
Cofondateur du Journal du Coin et crypto-addict depuis plusieurs années. J'aime partager ma passion et aider les nouveaux arrivants à évoluer dans cet univers. Vous pouvez me retrouver tous les lundis sur notre chaîne YouTube pour notre JTduCoin.

3
Poster un Commentaire

avatar
3 Fils de commentaires
0 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
plus récent plus ancien Le plus populaire
freetoplaynews
Invité
freetoplaynews

“Tout laisse donc croire que ces 500 000 ETH ont disparus suite à une simple erreur de programmation. Cela en dit long sur la sécurité d’Ethereum”

Non ça ne dit rien sur la sécurité d’ethereum, ça dit juste qu’une partie des gens qui codent des smart contract le font avec les pieds ou qu’ils n’ont toujours pas compris que c’était de la programmation critique. C’est comme quand on code pour l’industrie nucléaire ou aéronautique on peux pas laisser de bug/vulnérabilités dans le code. Oui c’est très dur et très long de faire de la programmation critique mais on peut pas tout avoir. Cela étant dit la sécurité du réseau etherem n’est absolument pas compromise, seul ce qui était directement lié à ce contrat sur le réseau l’est.

trackback

[…] pauvre développeur qui faisait encore ses armes – Devops199 – ce qui avait engendré beaucoup de dégâts. L’équipe de Parity a publié hier un communiqué où elle […]