X

Un bug des portefeuilles multi-signatures de Parity gèle des milliers d’Ether

C’est soi-disant « par hasard » qu’une personne est parvenue à geler l’intégralité des portefeuilles de cybermonnaies multi-signatures de l’éditeur Parity. Conséquence : tous les fonds sont gelés, représentant près de 300 millions de dollars. Plusieurs solutions sont envisagées, dont une radicale. 

Parity est un éditeur de portefeuilles dits multi-signatures de gestion de cybermonnaies, en l’occurrence d’Ether. C’est-à-dire que plusieurs personnes partagent un portefeuille commun, et qu’il nécessite donc l’approbation des propriétaires pour débloquer les fonds. C’est le principe développé par Parity, qui est très utilisé pour les levées de fonds en cybermonnaies par exemple. 

Pour comprendre ce qu’il s’est passé le 7 novembre, il faut remonter à juillet dernier. A l’époque, une première faille avait touché les portefeuilles multi-signatures de Parity : elle permettait de connaître les propriétaires, de s’approprier un smart contract et donc les fonds qui y étaient déposés. Parity avait assez rapidement corrigé la faille en diffusant un correctif le 20 juillet. C’est sur cette version qu’une seconde faille a été découverte le 7 novembre par un curieux hasard. 

Ce qu’il s’est vraiment passé

« Les portefeuilles de Parity se basent sur un smart contract générique qui est lui-même appelé par les autres portefeuilles des utilisateurs. A l’inverse de la faille de juillet, qui permettait de connaître les constructeurs d’un smart contract, cette nouvelle faille permet de révéler le destructeur. C’est-à-dire que chaque smart contract dispose d’une fonction « safe destruct » qui comme son nom l’indique permet de supprimer le smart contract de la blockchain et de récupérer les fonds qu’il héberge », nous explique Renaud Lifchitz, consultant chez Digital Security. 



Ce qui s’est passé hier n’est pas banal. En l’occurrence, c’est un utilisateur qui dit avoir fait la manipulation accidentellement. Ce faisant, il a bloqué l’intégralité des fonds déposés dans les portefeuilles Parity. Cela représente selon nos informations environ 930 000 Ether, soit un peu moins de 300 millions de dollars. En « tuant » le smart contract générique de Parity, les portefeuilles créés après le 20 juillet sont donc désormais muets puisqu’ils « appellent une fonction qui n’existe pas », ajoute Renaud Lifchitz. 

Plusieurs solutions envisagées

On ne peut évidemment pas laisser des centaines de millions de dollars dans la nature. En revanche, pour le moment, aucune solution n’a été trouvée. Dans un communiqué diffusé hier, Parity écrit : « nous continuons d’investiguer et de considérer tant les possibles implications que les différentes options » pour résoudre ce problème. En revanche, l’éditeur affirme que les fonds ne peuvent pas être bougés. 


Plusieurs solutions sont envisagées. La première, certainement la plus triviale, serait de trouver une faille et donc d’accéder aux portefeuilles de manière détournée afin de récupérer les fonds. « Pas si simple, puisque les smart contacts sont très sécurisés », rappelle Renaud Lifchitz. Deuxième solution : un hard fork, c’est-à-dire un changement radical du protocole et qui nécessite une mise à jour de tous les nœuds du système. C’est le choix qu’avait fait The DAO en juin 2016, créant une énorme défiance de la part de la communauté. Enfin, le troisième choix a été proposé par Vitalik Butterin, le créateur d’Ethereum : il s’agit d’une amélioration intrinsèque du protocole Ethereum qui consiste à créer une porte de sortie générique pour éviter le gel des fonds. Cette solution, considérée comme étant la plus consensuelle, entraînerait la création d’un hard fork générique. 

D’autres options seraient également à l’étude chez Parity, qui joue ici sa réputation voire sa survie. L’issue de cette histoire aura fatalement des répercussions, non seulement sur les cybermonnaies mais aussi sur les ICO, les levées de fonds en cybermonnaies.  


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs
Offres d'emploi informatique avec  Emploi en France
jooble

L’emploi aux temps du Corona

L’emploi aux temps du Corona

Bien que moins sinistré que d’autres par la Covid-19, le secteur de l’IT a lui aussi connu de profonds changements durant le confinement et devrait en tirer quelques enseignements.

No Code / Low Code

No Code / Low Code

Le No Code / Low Code ne cesse de faire parler de lui en ce moment avec des outils comme Appian, Intrexx, Lightning, Unqork et autres Microsoft Flow. Est-ce le début de la fin pour les développeurs ? Peut-être, peut-être...

Gestionnaire de mots de passe

Gestionnaire de mots de passe

Enregistrer ses mots de passe dans un coffre-fort numérique plutôt que les noter sur un carnet, un post-it ou un fichier Excel… Tel est le principe des gestionnaires de passwords qui ne cessent de gagner de nouveaux...

Datacenters sur le grill

Datacenters sur le grill

Véritable usine de production de l’économie numérique, le datacenter focalise les critiques des associations environnementales. Ces installations dont les plus grosses peuvent consommer jusqu’à une centaine...

RSS
Afficher tous les dossiers

IT DU MONDE D'APRÈS, IT DE DEMAIN (1) : automatisation, gestion de l'info, mobilité, sécurité - Health Data Hub - Le VPN meilleure solution pour le télétravail ? - Project Reunion Microsoft : retour des apps universelles - Power Over Ethernet, une avancée discrète - Pourquoi Apple choisit ARM plutôt qu'Intel ? - La Silicon Valley dans tous ses états - Produits high tech de loisirs du moment...

 

GESTIONNAIRE DE MOTS DE PASSE : un outil indispensable ? - Pandémie & Tech : gagnants et perdants - Multicloud : réalité d'aujourd'hui, impacts sur l'infrastructure et l'applicatif - Project Reunion Microsoft - No Code/Low Code en plein essor - Cobol V6 - Cyberattaques Covid-19 - L'emploi au temps du Corona...

 

COMMUNICATIONS UNIFIÉES : une convergence accrue entre communication et collaboration - Réussir StopCovid ! - Énergie : les datacenters sur le grill - Le lourd poids de la dette technique - GitLab comme solution DevSecOps - Les femmes, avenir de la filière IT ? - Apps de messagerie, attention danger ? - Pôle IA Toulouse...

 

Afficher tous les derniers numéros
Derniers commentaires
Une cour texane a condamné Apple à payer plus de 500 millions de dollars de dommages et intérêts à PanOptis, pour avoir violé des brevets sur la 4G détenus par cette sociétéUne cour texane a condamné Apple mardi à payer plus de 500 millions de dollars de dommages et intérêts à PanOptis, pour avoir violé des brevets sur la 4G détenus par cette société. [Lire la dépêche...]

Facebook assure avoir progressé dans la détection des contenus incitant à la haine Facebook a assuré mardi avoir progressé dans la détection des contenus incitant à la haine, sans parvenir à apaiser les associations à l'origine d'un large boycott publicitaire du géant des réseaux sociaux, accusé de laxisme dans la gestion de ce type de publications. [Lire la dépêche...]

Google a annoncé mardi le lancement d'un système d'alerte aux tremblements de terre pour téléphones portables Android en Californie.Google a annoncé mardi le lancement d'un dispositif d'alerte aux tremblements de terre pour téléphones portables équipés du système d'exploitation Android en Californie. [Lire la dépêche...]

L'application chinoise de vidéos divertissantes TikTok, au cœur des tensions sino-américaines, fait l'objet d'investigations de la CnilL'application chinoise de vidéos divertissantes TikTok, au cœur des tensions sino-américaines, fait l'objet d'investigations du gendarme des données personnelles, qui s'interroge sur plusieurs points, dont les modalités de son établissement dans l'Union européenne, a indiqué la Cnil à l'AFP, confirmant des informations de Bloomberg. [Lire la dépêche...]

Photo diffusée le 22 juin 2020 par Apple du PDG d'Apple Tim Cook lors d'une conférence en ligneNeuf ans après avoir été nommé à la tête d'Apple et au moment où le groupe n'a jamais valu aussi cher en Bourse, Tim Cook a rejoint le club très fermé des milliardaires, selon l'agence Bloomberg. [Lire la dépêche...]

Facebook, Amazon, Netflix et d'autres piliers des technologies tentent de faire valoir leurs arguments contre le gel des visas décidé en juin par le président Donald TrumpFacebook, Amazon, Netflix et d'autres piliers des technologies tentent de faire valoir leurs arguments contre le gel des visas décidé en juin par le président Donald Trump, qui nuit selon eux à tous les acteurs de l'économie américaine. [Lire la dépêche...]

Un robotaxi Didi Chuxing circule dans les rues de Shanghai, le 20 juillet 2020A Shanghai, des clients-cobayes s'installent sans crainte à l'arrière d'un taxi sans chauffeur qu'ils ont commandé en ligne: les géants locaux de la voiture autonome tentent de généraliser cette technologie futuriste auprès de Chinois friands d'innovation. [Lire la dépêche...]

Twitter a, selon le Wall Street Journal, entamé des discussions préliminaires pour un éventuel regroupement avec TiktokTwitter a, selon le Wall Street Journal, entamé des discussions préliminaires pour un éventuel regroupement avec Tiktok, une application que Donald Trump accuse d'espionnage au profit de la Chine et menace d'interdire aux Etats-Unis. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

HEXATRUST

6ème université d'été de l'association Hexatrust sur le thème "Vers une autonomie stratégique européenne" le 3 septembre 2020 à Paris (CCI). Sur invitation. Organisée par Hexatrust.

BIG DATA

Conférences et exposition sur le Big Data les 14 et 15 septembre 2020 à Paris, Porte de Versailles. Organisé par Corp Agency.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Porte de Versailles les 14 et 15 septembre 2020. Organisé par Corp Agency.

DOCUMATION

Congrès et exposition Documation du 22 au 24 septembre 2020  à Paris Porte de Versailles (Pavillon 4.3). Organisé par Infopromotions.

AP CONNECT

La 3ème édition d'AP Connect qui vise à réunir les innovations, technologies et solutions dédiées à la transition numérique des administrations publiques centrales et des collectivités territoriales a lieu les 22 et 23 septembre 2020 à Espace Grande Arche, Paris La Défense. Organisé par PG Organisation.

RSS
Voir tout l'AgendaIT