Ethereum est passé avec succès de la Proof of Work (PoW) à la Proof of Stake (PoS). Quelques jours après ce changement d’algorithme de consensus, un piratage a eu lieu sur Ethereum PoW, un fork de la blockchain Ethereum. Il s’agit d’une version du réseau dont l’algorithme de consensus n’a pas changé. Elle fonctionne toujours sur base de la PoW et les mineurs ont toujours un rôle important à y jouer.
Pour échanger des cryptomonnaies de la blockchain principale vers le fork, ou inversement, les utilisateurs doivent passer par des ponts (bridges). Ces protocoles permettent de transférer des actifs d’une chaîne de blocs à une autre. Lors du processus, les cryptomonnaies déposées sont bloquées dans un contrat intelligent. En parallèle, l’équivalent des devises bloquées est émis sur la blockchain de destination. De cette façon, l’utilisateur peut se servir de ses avoirs sur une autre chaîne de blocs. En l’occurrence, ils peuvent utiliser des jetons ETHW sur la chaîne principale, ou inversement.
Oui, mais voilà : le dimanche 18 septembre 2022, soit trois jours après le Merge, un pirate s’est attaqué à OmniBridge, un de ces ponts qui connecte plusieurs réseaux, dont les blockchains Ethereum. L’attaque a été promptement identifiée par les chercheurs de BlockSec, un spécialiste de la sécurité sur la blockchain.
1/ Alert | BlockSec detected that exploiters are replaying the message (calldata) of the PoS chain on @EthereumPow. The root cause of the exploitation is that the bridge doesn't correctly verify the actual chainid (which is maintained by itself) of the cross-chain message.
— BlockSec (@BlockSecTeam) September 18, 2022
En exploitant une faille dans le fonctionnement d’Omnibridge, le hacker est parvenu à doubler la quantité de cryptomonnaies déposées. Le hacker a déposé 200 ETH sur le pont. Il les a rapidement retirés, mais grâce à la faille, il a reçu 200 ETHW sur la blockchain Ethereum PoW. En clair, il a pu repartir avec des devises numériques sans geler ses avoirs dans un contrat intelligent. Les fonds ont donc été dupliqués. L’attaquant a gagné entre 8 et 10 000 dollars dans le processus.
A lire aussi : Pourquoi il n’est plus rentable de miner des cryptomonnaies avec une carte graphique
Les ponts entre les forks, le maillon faible d’Ethereum ?
Dans un billet de blog, les développeurs Ethereum PoW soulignent que la faille ne se situe pas au niveau de la blockchain. La brèche, qui a permis de dupliquer des cryptomonnaies, provient bien d’un contrat intelligent du pont Omnibridge.
« Il n’y a pas eu d’attaque par rejeu depuis ETHPoS et vers ETHPoS, ce que les ingénieurs en sécurité d’ETHW Core avaient anticipé », expliquent les développeurs d’ETH PoW.
Le pont est de ce fait responsable de l’attaque. Comme le rapportent les experts de Chainalysis, « les ponts sont une cible de choix pour les hackers, car ils hébergent bien souvent un espace de stockage central où sont déposées les cryptos qui servent à soutenir les devises émises sur la blockchain de réception ».
La plupart des piratages enregistrés cette année visaient d’ailleurs des ponts. Cet été, l’écosystème a été notamment marqué par le piratage de Nomad, qui a abouti à la disparition de 190 millions de dollars en cryptomonnaies. Dans le cas de Nomad, la brèche a été introduite par une mise à jour d’un contrat intelligent du bridge. Récemment, une faille critique a par ailleurs été repérée dans le bridge d’Arbitrum connecté à Ethereum. Un pirate aurait pu s’emparer des fonds en transit sur le pont. Heureusement, la vulnérabilité a été comblée avant qu’un hacker ne l’exploite.
Les autres vecteurs d’attaque
À la suite de The Merge, ce ne sont plus les mineurs qui sécurisent les transactions sur la blockchain Ethereum. Désormais, ce sont les validateurs qui sont chargés de sécuriser le réseau. Pour devenir un validateur, il est nécessaire de disposer d’un minimum de 32 Ethers. Ces tokens sont alors déposés en garantie. Le validateur perçoit ensuite une récompense en ETH, comme les mineurs avant le Merge.
« Le staking (NDLR : individuel ) concerne exclusivement une communauté de défenseurs de l’Ethereum, qui ont de grosses compétences techniques. Ce n’est pas donné à tout le monde. L’accès n’est pas évident », regrette Gilles Cadignan, fondateur de Woleet, une start-up spécialisée dans la cybersécurité, lors d’un entretien accordé à 01Net.
C’est pourquoi la plupart des validateurs passent par des plates-formes de staking centralisées. De nombreux exchanges de cryptomonnaies proposent des services de staking. C’est le cas de Coinbase, Binance, BlockFi ou encore Kraken. À la suite de la fusion, la gestion de la sécurité de la blockchain Ethereum s’est donc considérablement centralisée. Ce phénomène avait été largement anticipé par les développeurs, précise le fondateur de Woleet.
« Une fois le Merge passé, sur les 1000 blocs, 420 blocs ont été validés par deux adresses », souligne Gilles Cadignan.
Parmi les entités qui concentrent une grande partie du staking, on trouve Lido. Il s’agit d’un service qui permet à n’importe qui de devenir un validateur d’Ethereum. Le protocole a attiré de nombreux investisseurs soucieux de faire fructifier leurs avoirs. En conséquence, Lido s’est mis à concentrer un peu plus de 30 % du marché de la validation d’Ethereum. Notez par ailleurs que la grande majorité des avoirs déposés sur Lido sont des Ethers. Sur les 7,8 milliards de dollars en staking sur le protocole, 7,61 milliards de dollars sont des ETH. Néanmoins, Lido n’est pas vraiment un acteur centralisé. Il s’agit d’une firme qui sert d’intermédiaire à près de 30 entreprises.
L’omniprésence des plates-formes de staking s’accompagne de « risques potentiels de censure liés à la régulation », estime Abdelhamid Bakhta, développeur d’Ethereum. Concrètement, une entité, comme un gouvernement, pourrait exercer une pression sur un validateur pour le pousser à refuser des transactions. Théoriquement, un validateur comme Lido pourrait devoir « se soumettre à la régulation », ajoute le PDG de Woleet.
Dans la foulée de la fusion, les États-Unis ont d’ailleurs estimé que la blockchain Ethereum dépend de la législation américaine. Pour la Securities and Exchange Commission (SEC), le gendarme financier américain, toutes les transactions réalisées sur Ethereum sont considérées comme ayant lieu aux États-Unis. Le régulateur argumente en soulignant que la plupart des validateurs sont localisés sur le sol américain. Comme le montre Etherscan, le site qui permet d’explorer la chaîne de blocs, plus de 45 % des nœuds sont en effet hébergés sur le territoire du pays. Les validateurs devront-ils à l’avenir se plier à la législation américaine ?
Ethereum, une blockchain devenue trop complexe ?
Interrogé par nos soins, Gilles Cadignan évoque également le Nothing at Stake ou « rien à perdre », « un problème bien connu de tous les amoureux des algorithmes de consensus ». Cette faille, inhérente à la Proof of Stake, consiste à valider des transactions sur deux forks d’une blockchain. Pour empêcher un validateur de valider des blocs sur deux réseaux, les développeurs ont mis en place le slashing. Il s’agit d’un système de pénalités qui punit un validateur qui chercherait à valider des blocs sur plusieurs branches en parallèle.
Avec des ajouts de cet acabit, la fusion de l’Ethereum aurait considérablement complexifié le code de la blockchain. Cette complexité accrue ouvrirait la porte à la découverte de failles potentielles à l’avenir. De plus, « les changements radicaux en continu » décrétés par les développeurs Ethereum, et la profusion de forks, risqueraient de fragiliser l’infrastructure.
« La complexité, c’est l’ennemi de la sécurité. Plus c’est compliqué, plus il y a des risques de failles. Et l’Ether, avec le PoS, c’est encore plus complexe, il y a encore plus de lignes de code. Je pense qu’il y a 100 fois plus de lignes de code, ça part dans tous les sens », explique Gilles Cadignan, soulignant qu’il suffit qu’il y ait « un seul problème pour que tout s’enchaîne ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
