Sale semaine pour la réputation d’Ethereum. Une faille a été détectée dans les portefeuilles à multiples signatures proposés par la société britannique Parity. Celle-ci a été exploitée par un cybercriminel qui a vidé plusieurs porte-monnaie affectés par cette vulnérabilité, amassant l’équivalent de 30 millions de dollars en ether.
Le casse du siècle en 2017, cela ressemble à cela : sur l’adresse ethereum du cybercriminel, on peut ici voir les trois siphonnages des portefeuilles signalés, pour un total d’environ 33 millions de dollars en ether.
L’histoire est cette fois-ci un brin plus complexe que celle ayant affecté en début de semaine les investisseurs de la plateforme Coindash. Une faille était présente dans les portefeuilles Ethereum multisignatures développées par la société britannique Parity Technologies. Ces portefeuilles multisignatures sont des programmes (plus précisément des smartcontracts) utilisés pour conserver les ethers, la monnaie utilisée par le projet Ethereum, mais ceux-ci peuvent être partagés entre plusieurs utilisateurs. Les mouvements de fonds sur ces portefeuilles doivent donc être théoriquement approuvés par une majorité des propriétaires du portefeuille.
Prends l’ether et tire-toi
Mais comme tout programme informatique, ceux-ci ne sont pas exempts de failles de sécurité. Une faille importante a été détectée dans la version 1.5 du portefeuille ethereum publié par Parity. Plus précisément, la faille ne se situe pas dans le portefeuille en lui-même, mais dans le contrat permettant de gérer un portefeuille en multisignature.
Cette faille de sécurité a été exploitée par un cybercriminel, qui aurait profité de l’occasion pour siphonner trois porte-monnaie vulnérables à cette faille de sécurité. Ces porte-monnaie appartenaient à trois sociétés opérant dans les technologies liées à l’écosystème ethereum : æternity, Swarm City et edgeless. Au total, les cybercriminels ayant eu recours à cette vulnérabilité sont parvenus à récupérer l’équivalent de 30 millions de dollars en ether.
UPDATE: #aetrnty was affected by the Parity 1.5 (or later) vulnerability. Phase 1 ETH and all BTC are safe. Details: https://t.co/UTcAAJoRGE
— æternity blockchain (@aetrnty) July 19, 2017
Les développeurs du portefeuille ont bien évidemment posté un message d’avertissement à destination de leurs utilisateurs, suivi d’un patch correctif. Il est bien hautement recommandé de patcher pour se prémunir d’une éventuelle attaque, mais sur l’espace de discussion de Parity, les développeurs recommandaient également de déplacer les fonds vers un portefeuille non vulnérable le temps que le correctif soit déployé.
Mais avec la révélation publique de la faille, c’est une véritable course contre la montre qui s’est engagée. L’ensemble des portefeuilles multisignatures de Parity étant vulnérables, attendre que leurs utilisateurs mettent à jour eux-mêmes les logiciels représentait donc un risque important.
Un second groupe, autoproclamé White Hat hackers, s’est constitué et a donc entrepris de siphonner l’ensemble des portefeuilles vulnérables en exploitant cette même faille, afin de placer les fonds sur un portefeuille sécurisé. Ils promettent de rendre les fonds aux utilisateurs en leur recréant des portefeuilles sécurisés une fois que les nouvelles versions corrigées seront ressorties.
IMPORTANT: SECURITY ALERT: https://t.co/h5vc0KwAxS Move funds in multi-sig wallet created in Parity Wallet 1.5 or higher immediately.
— Parity Technologies (@ParityTech) July 19, 2017
L’expérience n’a au final rien de rassurant pour les utilisateurs, qui voient leurs portefeuilles multisignatures drainées de tous leurs ethers et doivent vérifier les transactions afin de déterminer si ceux-ci ont été vidés par des cybercriminels ou par le groupe de White Hat tentant de sécuriser les fonds placés sur des portefeuilles vulnérables.
