X

La cryptomonnaie Ether victime d’un piratage massif

Le hacker se serait emparé de 50 millions de dollars, soit le tiers du montant levé voici 3 semaines dans le cadre du projet TheDAO, le premiers fonds d’investissement décentralisé basé sur la blockchain. Il s’agit d’un coup très dur pour le projet en particulier et pour les cryptomonnaies en général.

Vendredi matin, le projet TheDAO a pris un coup sur la tête peut-être définitif. En effet, en profitant d’une faille du système, en l’espèce une vulnérabilité d'appel récursif, où le hacker appelle la fonction "split" en boucle pour recueillir les jetons lui permettant de créer une DAO fille sur laquelle il a le droit de curation, passé un certain délai. Dès lors, il peut convertir ses jetons en Ether et reconvertir ensuite les Ether dans une autre monnaie réelle. Avec le bug, il a pu multiplier ses appels et a donc siphonné près du tiers des jetons. Mais le pire est que le bug n’est toujours pas corrigé et qu’une autre personne l’a démontré ce week-end en siphonnant une dizaine de jetons, pour montrer le bug. Aussi, si rien n’est fait - et rien ne semble être fait pour le moment - la totalité des fonds va être évaporée. En effet, le pirate qui a agi vendredi a récupéré 50 millions de dollars au cours de vendredi de la cryptomonnaie Ethereum. Depuis, la somme est moins importante, car le cours de ce dérivé du Bitcoin a fortement chuté à la suite de ce piratage, -33% pour la seule journée de vendredi.

De 500 000 dollars à 150 millions

Au mois de mai dernier se créait une nouvelle DAO (Decentralized Autonomous Organization), c’est-à-dire un ensemble de règles de gouvernance de projet définies par une communauté. Baptisée TheDAO, elle donnait naissance au premier fonds d’investissement basé sur ce principe organisationnel et qui a levé des fonds via une campagne de financement participatif.

«Au départ, il s’agissait d’un projet bien précisé comme étant en Bêta et qui visait à lever 500 000 dollars pour créer des serrures connectées », comme le précise Renaud Lifchitz, consultant en sécurité et membre de la communauté Ethereum. L’affaire a tellement bien marché que le fonds a récolté près de 10% des pièces Ether en circulation, soit 100 millions de dollars. Depuis le cours avait continué à progresser et le montant atteignait environ 150 millions de dollars, donc une bien belle affaire pour les participants. Aussi au-delà du projet initial, TheDAO pouvait donc être en mesure de financer différents projets à la manière de ce que font les capitaux-risqueurs traditionnels mais dans une structure décentralisée et virtuelle.

Tout ceci semblait magnifique mais, patatras, un pirate vient de mettre par terre cette « belle » organisation en profitant d’un énorme bug dans le fonctionnement de cette blockchain.

Pour le moment tout est bloqué et la seule solution pour récupérer l’argent est de dérouler la blockchain mais ceci s’oppose à la philosophie générale du projet qui, pour certains puristes, supposent que l’intervention humaine soit nulle, y compris en cas d’attaque. L’autre solution – qui semble être celle vers laquelle on pourrait se diriger – suppose de créer un fork mais là encore l’opération n’est pas sans risque. Comme l’indique le professeur d’informatique Emin Gün Sirer : «  c’est l'un des scénarios cauchemar qui inquiétait tout le monde, à savoir que quelqu’un exploite une faille du DAO pour dérober une grosse somme ».

Soft ou Hard Fork mais fonds perdus

Renaud Lifchitz indique que deux méthodes sont possibles : soft ou hard fork. C’est la première qui semble vouloir être utilisée. Elle consiste à donner aux mineurs une nouvelle version du programme qui n’accepte pas dans la blockchain les jetons de la DAO du pirate ou d’une fille. En gros les fonds sont gelés et il ne pourra rien en faire. L’autre solution consisterait à distribuer une nouvelle version qui effectuerait un roll-back de toutes les transactions avec cette DAO mais cela signifie que toutes ces transactions seraient perdues et tous les achats invalidés. Pour que la première méthode fonctionne (le soft fork), il faut que plus de la moitié des mineurs acceptent cette nouvelle version, ce qui n’est pas garanti. Cependant, y compris dans le soft fork, même si les fonds ne pourront pas être utilisés par le pirate, ils seront tout de même perdus pour les investisseurs. Et c’est un autre paradoxe que souligne Renaud Lifchitz : « le choix du soft fork a été proposé par les développeurs de la DAO et soumis à l'acceptation d'une majorité de mineurs alors qu’il devrait être fait par les actionnaires, ceux-là mêmes qui sont susceptibles de perdre ou pas leurs investissements ».

M. Lifchitz souligne que l’on se trouve aujourd’hui devant un choix politique et non plus technique dans lequel on accepte un système totalement décentralisé avec ses failles ou un système plus centralisé. « c’est une affaire de choix politique et moral ».

En effet, pour que les 100 et quelques millions de dollars ne disparaissent pas purement et simplement, il faut inverser totalement le fonctionnement et recourir à une mesure centralisée, mesure justifiée par l’ampleur du piratage. Mais le pirate lui-même pourrait s’opposer à la mesure considérant qu’elle est contraire au principe de fonctionnement du système, principe qui l’a lui-même conduit à adhérer, considérant que la vulnérabilité n’en était pas une mais bien une « fonctionnalité » qu’il a utilisée. Comme le souligne le blog Errata Security :

Dans tous les cas, le concept de base du TheDAO est une utopie totalement inutile. À la base, le Bitcoin a été créé par des personnes qui connaissaient le fonctionnement de la monnaie. TheDAO a été créé par des gens profondément naïfs sur l’investissement. C’est comme si vous mettiez toutes vos économies aux mains de singes savants. L’ambition de TheDAO était de se baser sur la sagesse des foules en estimant que tout le monde fera des choix avisés pour profiter à la collectivité. Mais c’est devenu l’ignorance des monstres où tout le monde pense que personne ne tentera de tromper le système. En fait, ce piratage est bienvenu parce qu’on a compris les limites du système avant qu’il devienne trop important. Si TheDAO avait continué de cette manière, alors ce serait devenu une sorte de pyramide de Ponzi en provoquant l’arrestation de ces créateurs »

Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Actuellement à la Une...

Dossier L'1FO

Stockage Cloud : des services en pleine mutation

Tout le monde utilise à titre privé ou professionnel un service de stockage dans le cloud. L’espace de stockage est le paramètre le plus évident pour comparer ces services. Néanmoins bien d’autres critères doivent être considérés pour choisir le cloud auquel on accordera toute sa confiance. Article paru dans le n°158 de L'Informaticien.

Afficher tous les dossiers
Offres d'emploi
RSS
1234

Lancez votre recherche sur la rubrique Emploi avec notre partenaire

News Mag-Securs
1234567

Retrouvez actualités, dossiers et communiqués sur la sécurité du système d'information sur le portail Mag-Securs

LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SERVEURS : la guerre des processeurs relancée ! ARM/Intel/AMD - NotPetya/Expetr : retour sur une attaque informatique qui change le monde - Poser les bases de la conformité RGPD - Offres Multicloud - French Tech LORnTECH - Kantree simplifie le travail collaboratif - Langage Go Google - Coworking IT...

 

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Le ministre français de l'Économie, Bruno Le Maire, a invité samedi tous ses pairs européens à se joindre à un projet soutenu par dix d'entre eux pour mieux taxer les géants de l'internet (Gafa), mais qui laisse certains sceptiques.La Commission européenne a présenté jeudi de premières pistes pour mieux taxer les géants de l'internet, comme Google, régulièrement accusés de faire de l'optimisation fiscale grâce à des montages financiers qui minimisent leurs impôts. [Sommaire]

Dans les allées du Tokyo Game Show, le 21 septembre 2017 à Chiba, près de la capitale japonaiseDes joueurs vedettes s'affrontaient à coups de gâchettes numériques jeudi au Tokyo Game Show, le Japon essayant de rattraper son retard dans l'eSport, une discipline qui a déjà conquis massivement l'Occident. [Sommaire]

Un salon des startups, organisé par le magazine TechCrunch, le 18 septembre 2017 à San FranciscoIntimidés par l'enjeu mais toujours enthousiastes, de jeunes entrepreneurs choisissent de jouer leur avenir en quelques minutes dans des compétitions de startups, comme cette semaine à San Francisco, pour convaincre des investisseurs que leur projet aura peut-être un destin à la Facebook.  [Sommaire]

Lors de la dernière assemblée générale des actionnnaires de Toshiba à Chiba, le 28 juin 2017Le conglomérat industriel japonais Toshiba a annoncé jeudi la convocation le 24 octobre d'une assemblée générale extraordinaire d'actionnaires afin d'approuver la cession de sa filiale de puces-mémoires au consortium mené par le fonds américain Bain Capital. [Sommaire]

Dans la salle des échanges de Wall Street, à New York, le 14 septembre 2017La Commission des opérations en Bourse américaine (SEC) a annoncé mercredi soir qu'elle avait été victime de pirates informatiques en 2016 et que ceux-ci avaient pu en profiter pour réaliser des opérations financières illégales. [Sommaire]

Le streaming représente 62% des revenus de l'insdustrie musicale aux Etats-UnisL'industrie musicale américaine a annoncé mercredi être en pleine expansion sur la première moitié de l'année 2017, depuis que les plates-formes de streaming ont atteint les 30 millions d'abonnements payants et que la chute des ventes de CD s'est stabilisée.  [Sommaire]

Une campagne publicitaire pour un smartphone HTC, à Tapei le 6 janvier 2015Le fabricant taïwanais de smartphones en difficulté HTC a annoncé jeudi la revente partielle de ses activités pour 1,1 milliard de dollars au géant américain Google qui cherche à renforcer sa présence sur un marché dominé par Apple et Samsung. [Sommaire]

Le président de Toshiba, Satoshi Tsunakawa, lors d'une conférence de presse au siège du groupe, le 23 juin 2017 à TokyoLe conglomérat japonais aux abois Toshiba a décidé mercredi de vendre son activité de puces-mémoires au consortium mené par le fonds américain Bain Capital, malgré l'opposition résolue de son actuel partenaire Western Digital. [Sommaire]

Le vélo en libre-service Le vélo en libre-service "sans borne" a débarqué mercredi à Washington avec un géant chinois et une start-up californienne bien décidés à chambouler un secteur jusqu'ici dominé par les locations en stations.    [Sommaire]

L'unité de production Louis Dreyfus à General Lagos (province de Santa Fe, Argentine), le 13 septembre 2017Après un arrêt d'un mois, la production reprend à plein régime dans les usines de biodiesel de la région de Rosario, en Argentine: Washington a claqué la porte au carburant argentin mais le marché européen s'ouvre à nouveau. [Sommaire]

Toutes les dépêches AFP

AgendaIT

MICROSOFT IGNITE + ENVISION

Deux événements Microsoft se tiennent en parallèle à Orlando (Floride) du 25 au 29 septembre 2017 : Microsoft Ignite pour les DSI, professionnels de l'IT et développeurs et Microsoft Envision dédié aux responsables d'entreprises. Organisés par Microsoft.

APS

APS, salon professionnel de la sûreté et de la sécurité, se tient du 26 au 28 septembre 2017 à Paris, porte de Versailles (pav. 5.2/5.3). Organisé par Reed Expositions.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.
Conférence francophone sur la méthodologie "devops" en entreprise le 2 octobre 2017 à Paris (Grand Rex). Organisé par devopsdays.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

L'IBM BusinessConnect annuel devient Watson Summit Paris et se tient le 10 octobre 2017 au Carrousel du Louvre. Organisé par IBM.
RSS
Voir tout l'AgendaIT