X

La cryptomonnaie Ether victime d’un piratage massif

Le hacker se serait emparé de 50 millions de dollars, soit le tiers du montant levé voici 3 semaines dans le cadre du projet TheDAO, le premiers fonds d’investissement décentralisé basé sur la blockchain. Il s’agit d’un coup très dur pour le projet en particulier et pour les cryptomonnaies en général.

Vendredi matin, le projet TheDAO a pris un coup sur la tête peut-être définitif. En effet, en profitant d’une faille du système, en l’espèce une vulnérabilité d'appel récursif, où le hacker appelle la fonction "split" en boucle pour recueillir les jetons lui permettant de créer une DAO fille sur laquelle il a le droit de curation, passé un certain délai. Dès lors, il peut convertir ses jetons en Ether et reconvertir ensuite les Ether dans une autre monnaie réelle. Avec le bug, il a pu multiplier ses appels et a donc siphonné près du tiers des jetons. Mais le pire est que le bug n’est toujours pas corrigé et qu’une autre personne l’a démontré ce week-end en siphonnant une dizaine de jetons, pour montrer le bug. Aussi, si rien n’est fait - et rien ne semble être fait pour le moment - la totalité des fonds va être évaporée. En effet, le pirate qui a agi vendredi a récupéré 50 millions de dollars au cours de vendredi de la cryptomonnaie Ethereum. Depuis, la somme est moins importante, car le cours de ce dérivé du Bitcoin a fortement chuté à la suite de ce piratage, -33% pour la seule journée de vendredi.

De 500 000 dollars à 150 millions

Au mois de mai dernier se créait une nouvelle DAO (Decentralized Autonomous Organization), c’est-à-dire un ensemble de règles de gouvernance de projet définies par une communauté. Baptisée TheDAO, elle donnait naissance au premier fonds d’investissement basé sur ce principe organisationnel et qui a levé des fonds via une campagne de financement participatif.

«Au départ, il s’agissait d’un projet bien précisé comme étant en Bêta et qui visait à lever 500 000 dollars pour créer des serrures connectées », comme le précise Renaud Lifchitz, consultant en sécurité et membre de la communauté Ethereum. L’affaire a tellement bien marché que le fonds a récolté près de 10% des pièces Ether en circulation, soit 100 millions de dollars. Depuis le cours avait continué à progresser et le montant atteignait environ 150 millions de dollars, donc une bien belle affaire pour les participants. Aussi au-delà du projet initial, TheDAO pouvait donc être en mesure de financer différents projets à la manière de ce que font les capitaux-risqueurs traditionnels mais dans une structure décentralisée et virtuelle.

Tout ceci semblait magnifique mais, patatras, un pirate vient de mettre par terre cette « belle » organisation en profitant d’un énorme bug dans le fonctionnement de cette blockchain.

Pour le moment tout est bloqué et la seule solution pour récupérer l’argent est de dérouler la blockchain mais ceci s’oppose à la philosophie générale du projet qui, pour certains puristes, supposent que l’intervention humaine soit nulle, y compris en cas d’attaque. L’autre solution – qui semble être celle vers laquelle on pourrait se diriger – suppose de créer un fork mais là encore l’opération n’est pas sans risque. Comme l’indique le professeur d’informatique Emin Gün Sirer : «  c’est l'un des scénarios cauchemar qui inquiétait tout le monde, à savoir que quelqu’un exploite une faille du DAO pour dérober une grosse somme ».

Soft ou Hard Fork mais fonds perdus

Renaud Lifchitz indique que deux méthodes sont possibles : soft ou hard fork. C’est la première qui semble vouloir être utilisée. Elle consiste à donner aux mineurs une nouvelle version du programme qui n’accepte pas dans la blockchain les jetons de la DAO du pirate ou d’une fille. En gros les fonds sont gelés et il ne pourra rien en faire. L’autre solution consisterait à distribuer une nouvelle version qui effectuerait un roll-back de toutes les transactions avec cette DAO mais cela signifie que toutes ces transactions seraient perdues et tous les achats invalidés. Pour que la première méthode fonctionne (le soft fork), il faut que plus de la moitié des mineurs acceptent cette nouvelle version, ce qui n’est pas garanti. Cependant, y compris dans le soft fork, même si les fonds ne pourront pas être utilisés par le pirate, ils seront tout de même perdus pour les investisseurs. Et c’est un autre paradoxe que souligne Renaud Lifchitz : « le choix du soft fork a été proposé par les développeurs de la DAO et soumis à l'acceptation d'une majorité de mineurs alors qu’il devrait être fait par les actionnaires, ceux-là mêmes qui sont susceptibles de perdre ou pas leurs investissements ».

M. Lifchitz souligne que l’on se trouve aujourd’hui devant un choix politique et non plus technique dans lequel on accepte un système totalement décentralisé avec ses failles ou un système plus centralisé. « c’est une affaire de choix politique et moral ».

En effet, pour que les 100 et quelques millions de dollars ne disparaissent pas purement et simplement, il faut inverser totalement le fonctionnement et recourir à une mesure centralisée, mesure justifiée par l’ampleur du piratage. Mais le pirate lui-même pourrait s’opposer à la mesure considérant qu’elle est contraire au principe de fonctionnement du système, principe qui l’a lui-même conduit à adhérer, considérant que la vulnérabilité n’en était pas une mais bien une « fonctionnalité » qu’il a utilisée. Comme le souligne le blog Errata Security :

Dans tous les cas, le concept de base du TheDAO est une utopie totalement inutile. À la base, le Bitcoin a été créé par des personnes qui connaissaient le fonctionnement de la monnaie. TheDAO a été créé par des gens profondément naïfs sur l’investissement. C’est comme si vous mettiez toutes vos économies aux mains de singes savants. L’ambition de TheDAO était de se baser sur la sagesse des foules en estimant que tout le monde fera des choix avisés pour profiter à la collectivité. Mais c’est devenu l’ignorance des monstres où tout le monde pense que personne ne tentera de tromper le système. En fait, ce piratage est bienvenu parce qu’on a compris les limites du système avant qu’il devienne trop important. Si TheDAO avait continué de cette manière, alors ce serait devenu une sorte de pyramide de Ponzi en provoquant l’arrestation de ces créateurs »

Inscription gratuite à la newsletter de L'Informaticien.

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Actuellement à la Une...
Offres d'emploi
RSS
123456789

Lancez votre recherche sur la rubrique Emploi avec notre partenaire

Fil Twitter de L'1FO




LIVRES BLANCS

Le stockage flash au service des applications cloud, Un Livre Blanc PureStorage.

Le cloud computing transforme la façon dont les organisations développent et distribuent des applications. Les équipes de développement peuvent utiliser des clouds privés, publics ou hybrides afin de configurer rapidement de nouvelles infrastructures qui n'interfèrent pas avec les ressources ou opérations existantes. 


Evergreen Storage : Mise à niveau continue des systèmes de stockage flash, Un Livre Blanc PureStorage.

Pure Storage lance un nouveau modèle de mise à niveau technologique avec Evergreen Storage.

Bien que nécessaire à la réussite des entreprises, la gestion des mises à niveau technologiques n'est pas la tâche préférée des administrateurs de stockage d'entreprise. Lorsque l'entreprise évolue, gère plus de données, et installe de nouvelles applications, l'infrastructure de stockage doit inévitablement se développer en termes de performances et de capacité.



Les solutions de stockage objet, Un Livre Blanc IBM.

Cloud Object Storage. LE STOCKAGE OBJET apparait comme le successeur naturel du NAS. 

IBM ne s’y est pas trompé en acquérant Cleversafe, l’un des pionniers, en 2015. Pour proposer une solution - IBM COS - particulièrement sûre et porteuse de nombreuses innovations technologiques. 


IBM Cloud Object Storage sécurise le stockage, Un Livre Blanc IBM. 

IBM COS consacre l’arrivée de solution de stockage distribuée qui dépassent les systèmes traditionnels (NAS) en performance tout en répondant à un besoin clé : celui de la sécurité. À la haute disponibilité des données, s’ajoutent trois garde-fous contre les failles de sécurité : dispersion, chiffrement et authentification pour lutter contre le vol de données.


E-guide : Les avantages du stockage Objet, Un Livre Blanc IBM. 

LE CLOUD DANS TOUS SES ÉTATS : ENTRE MOBILITÉ ET STOCKAGE OBJET.

Dans cet E-guide dédié au Cloud, retrouvez un cas d’entreprise d’une compagnie aérienne qui a décidé de transformer son environnement IT en une vaste plateforme de Cloud Hybride dans le cadre d’une stratégie globale portée sur le numérique, la mobilité et l’expérience client.


Tous les Livres Blancs
Le Kiosque

CLOUD SOUVERAIN : mythes et réalités - Cas pratique : quand les données partent en balade... - Choisir sa solution d'Emailing - Apps mobiles : créez-les sans coder ! - Bootstrap : l'étincelle qui va faire briller vos sites Web - Rencontre avec Ludovic Le Moan (Sigfox) : "Il n'est pas possible d'ignorer la transformation sociale liée à l'IoT" - Les technos grand public qui vont percer en 2017...

 

PÉPITES DE L'IT : Ces start-up vont faire du bruit en 2017 ! - Sécurité SI 2017 : bien se préparer face aux attaques redoutées - Architectures hyperconvergées : les avantages selon Nutanix - Secure by Design : la sécurité pensée de A à Z - Rencontre Tristan Nitot : "Facebook est un CRM géant" - Devenir développeur web en 5 mois, c’est possible !...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Photo capturée de la NASA TV du lancement de la capsule Dragon à bord de sa fusée Falcon 9, le 19 février 2017 du Centre spatial Kennedy en Floride La société américaine SpaceX a lancé avec succès dimanche sa capsule non-habitée Dragon à bord de sa fusée Falcon 9 pour une nouvelle mission d'approvisionnement de la Station spatiale internationale (ISS). [Sommaire]

La fusée Falcon 9 de la société américaine SpaceX sur son pas de tir, le 17 février 2017 au Centre spatial Kennedy près de Cap Canaveral en FlorideLa société américaine SpaceX a dû repousser samedi la reprise de ses missions d'approvisionnement vers la Station Spatiale Internationale (ISS) à cause d'un problème technique détecté sur un moteur de sa fusée Falcon 9.  [Sommaire]

Un patient diabétique utilise un smartphone et une application pour calculer ses besoins d'insuline, à Strasbourg, le 8 juin 2016Les smartphones sont en passe de révolutionner la façon de diagnostiquer et de traiter des maladies chroniques grâce à des capteurs et des applications utilisés à des fins médicales, ont expliqué vendredi des chercheurs dans une conférence scientifique. [Sommaire]

Des Cubains échangent des informations sur leurs tablettes et leurs smartphones via Zapya, une application permettant d'échanger des fichiers à courte distance, sans connexion filaire ni internet, le 14 février 2017 à La HavaneDans un pays aux librairies dépouillées, les jeunes Cubains parviennent à lire ce qu'ils veulent, et probablement davantage que ce que croient les autorités. Car à Cuba, la lecture numérique a pu se faire une place malgré un internet très contrôlé. [Sommaire]

Une bague reliée à un smartphone le 9 janvier 2015 à Las Vegas Les smartphones sont en passe de révolutionner la façon de diagnostiquer et de traiter des maladies chroniques grâce à des capteurs et des applications utilisés à des fins médicales, ont expliqué vendredi des chercheurs dans une conférence scientifique. [Sommaire]

Dette galopante, croissance dopée aux dépenses publiques, bulle immobilière: les risques s'amoncellent en ChineDette galopante, croissance dopée aux dépenses publiques, bulle immobilière: les risques s'amoncellent en Chine, incitant Pékin à resserrer en douceur sa politique monétaire pour désamorcer la bombe à retardement que constitue la "finance de l'ombre". [Sommaire]

Sur la courbe du graphique illustrant les agressions informatiques contre les serveurs du site internet "En marche !" d'Emmanuel Macron, l'attaque de mardi matin a provoqué un pic pointu comme la lame d'un couteau. [Sommaire]

La Française des Jeux (FDJ) va se lancer dans l'organisation de compétitions de eSport avec Webedia, du groupe FimalacLa Française des Jeux (FDJ) a annoncé vendredi se lancer dans l'organisation de compétitions de eSport avec Webedia (groupe Fimalac), espérant démocratiser ce nouveau marché et participer à sa régulation. [Sommaire]

Le jeune agriculteur d'Indre-et-Loire David Forge  emmène chaque semaine sur internet des milliers de fans à la découverte de sa ferme de  Saint-Senoch, le 17 février 2017Chaque semaine, David Forge, un jeune agriculteur d'Indre-et-Loire, emmène sur internet des milliers de fans à la découverte de sa ferme, de ses engins et de ses champs de céréales. [Sommaire]

Depuis ses modestes débuts il y a 79 ans, le géant sud-coréen Samsung a connu une histoire mouvementée. Le père fondateur du conglomérat, son fils et son petit-fils ont tous eu des démêlés avec la justice. [Sommaire]

Toutes les dépêches AFP

L'1FO sur Facebook
AgendaIT

VIRTUALITY

Le premier salon Virtuality se tiendra du 24 au 26 février 2017 à Paris (Centquatre) et réunira les plus grands acteurs de la VR. Organisé par Guidelines.

GAME DEVELOPERS CONFERENCE

La 31ème édition de la Game Developers Conference (GDC) se tient du 27 février au 3 mars 2017 à San Francisco (Moscone Convention Center). Zone exposition ouverte du 1er au 3 mars. Organisée par UBM.
L'OVH Cloud Day a lieu le 28 février 2017 à Lille (Grand Palais) est une journée 100% Cloud pour tous les clients OVH. Organisé par OVH.

GALA DSI

La 5ème édition du Gala DSI doit réunir plus de 200 DSI au Pavillon d'Armenonville (Paris 16ème) le 1er mars 2017. Organisé par Agora Fonctions.

BIG DATA

Conférences et exposition sur le Big Data les 6 et 7 mars à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

ROOMN

Pour sa 5ème édition, la rencontre d'affaires Mobilité et Digital a pour cadre à nouveau Monaco (Grimaldi Forum) du 7 au 9 mars 2017. Organisée par Comexposium.