X
HPE NIMBLE STORAGE

News Partenaire

HPE NIMBLE STORAGE

En collectant des millions de données chaque seconde, les baies HPE Nimble Storage équipées de processeurs évolutifs Intel® Xeon® atteignent aujourd’hui un taux de disponibilité proche de 100%, un chiffre unique sur le marché.
25 Latest Articles Derniers articles | Archives | Recherche

La cryptomonnaie Ether victime d’un piratage massif

par Host 03, le 20 juin 2016 16:36 Article Rating

Le hacker se serait emparé de 50 millions de dollars, soit le tiers du montant levé voici 3 semaines dans le cadre du projet TheDAO, le premiers fonds d’investissement décentralisé basé sur la blockchain. Il s’agit d’un coup très dur pour le projet en particulier et pour les cryptomonnaies en général.

Vendredi matin, le projet TheDAO a pris un coup sur la tête peut-être définitif. En effet, en profitant d’une faille du système, en l’espèce une vulnérabilité d'appel récursif, où le hacker appelle la fonction "split" en boucle pour recueillir les jetons lui permettant de créer une DAO fille sur laquelle il a le droit de curation, passé un certain délai. Dès lors, il peut convertir ses jetons en Ether et reconvertir ensuite les Ether dans une autre monnaie réelle. Avec le bug, il a pu multiplier ses appels et a donc siphonné près du tiers des jetons. Mais le pire est que le bug n’est toujours pas corrigé et qu’une autre personne l’a démontré ce week-end en siphonnant une dizaine de jetons, pour montrer le bug. Aussi, si rien n’est fait - et rien ne semble être fait pour le moment - la totalité des fonds va être évaporée. En effet, le pirate qui a agi vendredi a récupéré 50 millions de dollars au cours de vendredi de la cryptomonnaie Ethereum. Depuis, la somme est moins importante, car le cours de ce dérivé du Bitcoin a fortement chuté à la suite de ce piratage, -33% pour la seule journée de vendredi.

De 500 000 dollars à 150 millions

Au mois de mai dernier se créait une nouvelle DAO (Decentralized Autonomous Organization), c’est-à-dire un ensemble de règles de gouvernance de projet définies par une communauté. Baptisée TheDAO, elle donnait naissance au premier fonds d’investissement basé sur ce principe organisationnel et qui a levé des fonds via une campagne de financement participatif.

«Au départ, il s’agissait d’un projet bien précisé comme étant en Bêta et qui visait à lever 500 000 dollars pour créer des serrures connectées », comme le précise Renaud Lifchitz, consultant en sécurité et membre de la communauté Ethereum. L’affaire a tellement bien marché que le fonds a récolté près de 10% des pièces Ether en circulation, soit 100 millions de dollars. Depuis le cours avait continué à progresser et le montant atteignait environ 150 millions de dollars, donc une bien belle affaire pour les participants. Aussi au-delà du projet initial, TheDAO pouvait donc être en mesure de financer différents projets à la manière de ce que font les capitaux-risqueurs traditionnels mais dans une structure décentralisée et virtuelle.

Tout ceci semblait magnifique mais, patatras, un pirate vient de mettre par terre cette « belle » organisation en profitant d’un énorme bug dans le fonctionnement de cette blockchain.

Pour le moment tout est bloqué et la seule solution pour récupérer l’argent est de dérouler la blockchain mais ceci s’oppose à la philosophie générale du projet qui, pour certains puristes, supposent que l’intervention humaine soit nulle, y compris en cas d’attaque. L’autre solution – qui semble être celle vers laquelle on pourrait se diriger – suppose de créer un fork mais là encore l’opération n’est pas sans risque. Comme l’indique le professeur d’informatique Emin Gün Sirer : «  c’est l'un des scénarios cauchemar qui inquiétait tout le monde, à savoir que quelqu’un exploite une faille du DAO pour dérober une grosse somme ».

Soft ou Hard Fork mais fonds perdus

Renaud Lifchitz indique que deux méthodes sont possibles : soft ou hard fork. C’est la première qui semble vouloir être utilisée. Elle consiste à donner aux mineurs une nouvelle version du programme qui n’accepte pas dans la blockchain les jetons de la DAO du pirate ou d’une fille. En gros les fonds sont gelés et il ne pourra rien en faire. L’autre solution consisterait à distribuer une nouvelle version qui effectuerait un roll-back de toutes les transactions avec cette DAO mais cela signifie que toutes ces transactions seraient perdues et tous les achats invalidés. Pour que la première méthode fonctionne (le soft fork), il faut que plus de la moitié des mineurs acceptent cette nouvelle version, ce qui n’est pas garanti. Cependant, y compris dans le soft fork, même si les fonds ne pourront pas être utilisés par le pirate, ils seront tout de même perdus pour les investisseurs. Et c’est un autre paradoxe que souligne Renaud Lifchitz : « le choix du soft fork a été proposé par les développeurs de la DAO et soumis à l'acceptation d'une majorité de mineurs alors qu’il devrait être fait par les actionnaires, ceux-là mêmes qui sont susceptibles de perdre ou pas leurs investissements ».

M. Lifchitz souligne que l’on se trouve aujourd’hui devant un choix politique et non plus technique dans lequel on accepte un système totalement décentralisé avec ses failles ou un système plus centralisé. « c’est une affaire de choix politique et moral ».

En effet, pour que les 100 et quelques millions de dollars ne disparaissent pas purement et simplement, il faut inverser totalement le fonctionnement et recourir à une mesure centralisée, mesure justifiée par l’ampleur du piratage. Mais le pirate lui-même pourrait s’opposer à la mesure considérant qu’elle est contraire au principe de fonctionnement du système, principe qui l’a lui-même conduit à adhérer, considérant que la vulnérabilité n’en était pas une mais bien une « fonctionnalité » qu’il a utilisée. Comme le souligne le blog Errata Security :

Dans tous les cas, le concept de base du TheDAO est une utopie totalement inutile. À la base, le Bitcoin a été créé par des personnes qui connaissaient le fonctionnement de la monnaie. TheDAO a été créé par des gens profondément naïfs sur l’investissement. C’est comme si vous mettiez toutes vos économies aux mains de singes savants. L’ambition de TheDAO était de se baser sur la sagesse des foules en estimant que tout le monde fera des choix avisés pour profiter à la collectivité. Mais c’est devenu l’ignorance des monstres où tout le monde pense que personne ne tentera de tromper le système. En fait, ce piratage est bienvenu parce qu’on a compris les limites du système avant qu’il devienne trop important. Si TheDAO avait continué de cette manière, alors ce serait devenu une sorte de pyramide de Ponzi en provoquant l’arrestation de ces créateurs »
Inscription gratuite à la newsletter de L'Informaticien.
Noter cet article (de 1 = Nul à 5 = Excellent) Valider

A lire aussi...

- Subite hausse du Bitcoin qui franchit brièvement les 5000$ 02/04/19

- Ethereum retarde sa mise à jour après la découverte d’une faille 16/01/19

- Les bureaux de tabac vendront (peut-être) du Bitcoin en 2019 23/11/18

- Quand le cash joue à cache-cache ! 10/07/18

- Sous les 5900$... Le bitcoin baisse lentement mais sûrement 29/06/18

- Cryptomonnaies : nouveau piratage d’une plateforme sud-coréenne 21/06/18

- Le piratage de Coinrail fait chuter le Bitcoin 13/06/18

- Coinbase, de l’échange de «crypto» au fonds d’investissement 06/04/18

- Archos dévoile un portefeuille physique de cryptomonnaie 26/02/18

- Folie Bitcoin : Bitfinex a-t-il utilisé le Tether pour manipuler les cours ? 01/02/18

Autres infos Sécurité, Bitcoin, Blockchain

Actuellement à la Une...

Actuellement en vente

Cours Bitcoin
Dossiers L'1FO
Google et les DSI

Google et les DSI

Christophe Guillemin
Malgré les condamnations en justice, les augmentations tarifaires, l’abandon de Google +… la firme de Mountain View aurait gagné du crédit auprès des DSI français. Depuis 2018, les contrats...
Blockchain

Blockchain

Alain Clapaud
Si les premières applications exploitant des blockchains ont souvent été développées par des petites start-up innovantes, la fête est finie. Les géants de l’IT se bousculent sur un...
Informaticien « green »

Informaticien « green »

Christophe Guillemin
Savoir réduire l’impact environnemental de l’IT, mais aussi exploiter le digital pour faciliter la transition énergétique et de développement durable. Ces compétences sont de plus en plus...
RSS
Afficher tous les dossiers
Le Kiosque
L'INFORMATICIEN n°176 - Avril 2019

SMARTPHONES PLIABLES : juste un truc de geeks ? - Toutes les nouveautés du MWC - La 5G en entreprise - Kit de survie en mobilité - La faillite du "10 nm" chez Intel - DaaS : la fièvre du "as a service" gagne le desktop - Identifier les bugs grâce à l'IA - Développeurs : les meilleures plates-formes pour le recrutement - Inner source : de nouvelles communautés open source...

 
[Sommaire]
L'INFORMATICIEN n°175 - Mars 2019

BIG DATA : la maturité ! marché, technologies, retours d'expérience - L'informatique du Grand Débat - Google & les DSI : des armes de séduction fatales ? - Dataops ou quand les méthodes agiles rencontrent le Big Data - Entretien avec Luc Julia, co-créateur de Siri - Tests assistants vocaux avec écrans...

 
[Sommaire]
L'INFORMATICIEN n°174 - Février 2019

CYBER-RÉSILIENCE : une question d'anticipation - Tendances 2019 : Edge, SD-Wan, Cloud hybride, collaboratif, IA/deep learning, Blockchain, SaaS - 5G enjeux sécurité - Cloud chez soi : idée géniale ou idiote ? - Fin des mainframes ? - Langages les plus buggés - Véhicules autonomes : les débouchés pour les informaticiens...

 
[Sommaire]
Afficher tous les derniers numéros
LIVRES BLANCS
Comment l'IA transforme la cybersécurité

L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.

[Présentation du Livre Blanc...]
Comment optimiser la gestion de ses postes de travail

Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.

[Présentation du Livre Blanc...]
Guide d'achat des solutions de protection des postes de travail

Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.

[Présentation du Livre Blanc...]
Etude Nutanix sur le développement du cloud en entreprise

Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 

[Présentation du Livre Blanc...]
7 étapes pour établir un programme GRC de gestion des risques
Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.

[Présentation du Livre Blanc...]
Tous les Livres Blancs
Derniers commentaires
Fil AFP
Techno et Internet
Notre-Dame: cinq choses à savoir sur la numérisation des monuments
Depuis l'incendie de Notre-Dame, des entreprises ou organisations, comme Targo, Art graphique et patrimoine, GE-A, Ubisoft ou l'université de Vassar (États-Unis) ont annoncé qu'elles possédaient des plans numériques de la cathédrale ou d'une de ses parties. Tour d'horizon des technologies et de l'utilité de tels plans numériques. [Lire la dépêche...]
Prolongation du séjour spatial de Christina Koch, qui va battre le record féminin
L'astronaute américaine Christina Koch, le 14 mars 2019, à Baïkonour au KazakhstanL'astronaute américaine Christina Koch va rester environ onze mois à bord de la Station spatiale internationale (ISS), ce qui lui permettra de battre le record féminin établi par Peggy Whitson en 2017, a annoncé la Nasa mercredi. [Lire la dépêche...]
Sur des disques durs américains, un modèle en 3D de Notre-Dame attend de servir
Image de synthèse de la cathédrale Notre-Dame de Paris, créée à partir de mesures par laser réalisées par Andrew Tallon, professeur d'art américain décédé en novembre 2018 Sur le campus de Vassar College au nord de New York, une semaine avant l'incendie de Notre-Dame de Paris, une équipe universitaire s'est réunie pour planifier un ambitieux projet: répertorier un gigantesque volume de données de modélisation en 3D de la cathédrale - parmi les plus riches au monde. [Lire la dépêche...]
Vendre ses données personnelles, un marché qui émerge timidement
Sur les rives de la rivière Han à Séoul 13 octobre 2016Toute donnée mérite salaire: c'est l'idée derrière un nouveau type d'applications qui payent les internautes pour marcher ou recevoir des emails, surfant sur la vague de défiance face à la collecte massive d'informations privées en ligne. [Lire la dépêche...]
Brevets des puces électroniques: Apple et Qualcomm enterrent la hache de guerre
Photomontage du logo d'Apple et du fournisseur de puces Qualcomm qui ont enterré le 16 avril la hache de guerre au lendemain de l'ouverture d'un procès sur ce sujet complexe mettant en jeu des milliards de dollarsAprès deux ans de bataille juridique sur toute la planète, Apple et le fournisseur de puces Qualcomm ont enterré mardi la hache de guerre au lendemain de l'ouverture d'un procès sur ce sujet complexe mettant en jeu des milliards de dollars. [Lire la dépêche...]
Protection des données: les plaintes à la Cnil en forte hausse en 2018
Le nombre de plaintes déposées auprès de la Cnil, chargée de s'assurer du bon usage des données personnelles, a augmenté de plus de 32% en 2018Le nombre de plaintes déposées auprès de la Cnil, chargée de s'assurer du bon usage des données personnelles, a augmenté de plus de 32% en 2018, principalement du fait de l'entrée en vigueur du Règlement européen de protection des données (RGPD) en mai dernier. [Lire la dépêche...]
La réforme controversée du droit d'auteur dans l'UE définitivement validée
La réforme controversée du droit d'auteur dans l'UE a été définitivement validée.La réforme controversée du droit d'auteur européen a été définitivement validée lundi avec un dernier vote des ministres de l'UE réunis à Luxembourg, point final d'un marathon de plus de deux ans. [Lire la dépêche...]
Les Etats-Unis veulent accélérer l'arrivée de la 5G
Le président Trump et le président de la FCC Ajit Pai s'expriment sur le développement rapide de la 5G aux Etats-Unis, le 12 avril 2019 à la Maison BlancheL'administration Trump a dévoilé vendredi ses plans pour accélérer l'installation de réseaux 5G, y compris la promesse de milliards de dollars pour donner aux régions rurales les plus isolées accès à des communications mobiles ultra-rapides. [Lire la dépêche...]
Toutes les dépêches AFP
AgendaIT

DEVOXX

Plus d'infos
DEVOXX DEVOXX

Devoxx France qui se présente comme la première conférence indépendante pour les développeurs en France tient sa 8ème édition du 17 au 19 avril 2019 à Paris au Palais de Congrès de la Porte Maillot. Organisée par Quantixx.

Plus d'infos

F8

Plus d'infos
F8 F8

Conférence développeurs Facebook au McEnery Convention Center de San Jose (Californie) les 30 avril et 1er mai 2019. Organisé par Facebook.

Plus d'infos

BUILD

Plus d'infos
BUILD BUILD

L'événement annuel développeurs Microsoft se tient au Washington State Convention Center de Seattle (WA, USA) du 6 au 8 mai 2019. Organisé par Microsoft.

Plus d'infos

GOOGLE I/O

Plus d'infos
GOOGLE I/O GOOGLE I/O
Google reçoit sa communauté de développeurs pour 3 jours de keynotes et ateliers du 7 au 9 mai 2019 au Shoreline Amphitheatre de Mountain View près de son siège social en Californie. Organisé par Google.
Plus d'infos

VIVA TECHNOLOGY

Plus d'infos
VIVA TECHNOLOGY VIVA TECHNOLOGY

Pour sa 4ème édition, Viva Technology, salon de l'innovation et de la croissance des start-up, se tient du 16 au 18 mai 2019 à Paris (Paris Expo, porte de Versailles). Organisé par Publicis et Les Echos.

Plus d'infos

READY FOR IT

Plus d'infos
READY FOR IT READY FOR IT
La première édition de Ready For IT se déroule du 20 au 22 mai 2019 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.
Plus d'infos

COMPUTEX

Plus d'infos
COMPUTEX COMPUTEX
Plus grand événement IT de la zone Asie du Sud-Est, Computex couplé avec InnoVEX se tient à Taipei du 28 mai au 1er juin 2019. Organisé par Taitra.
Plus d'infos
RSS
Voir tout l'AgendaIT