Alerte sécurité: Report du Hardfork Constantinople

La mise à niveau tant attendue d’Ethereum Constantinople vient d’être retardée après la découverte d’une vulnérabilité critique dans l’un des changements prévus.

Ethereum Constantinople

Le cabinet d’audit ChainSecurityindiqué que le EIP1283 [Ethereum Improvement Proposition], s’il était mis en œuvre, pourrait contenir une faille dans le code qui permet aux attaquants de voler les fonds des utilisateurs. Lors d’une conversation, les développeurs d’Ethereum, ainsi que les développeurs d’autres projets exécutant la Blockchain Ethereum, ont convenu de retarder le processus, au moins temporairement, pendant qu’ils évaluaient le problème.

Parmi les participants figuraient le créateur d’Ethereum, Vitalik Buterin, les développeurs Hudson Jameson, Nick Johnson et Evan Van Ness, et un responsable de Parity, Afri Schoedon. Une nouvelle date sera déterminée lors d’un autre call de l’équipe prévu pour vendredi prochain.

Discutant de la vulnérabilité détectée, les principaux développeurs ont conclu qu’il serait trop long de résoudre le bug avant le hard fork, qui devait être exécuté le 17 janvier vers 04H 00 UTC.

Appelée “attaque de réentrance” ou (Reentrancy Attack), cette vulnérabilité permet essentiellement à un attaquant de «re-saisir» la même fonction plusieurs fois sans que l’utilisateur ne soit informé. Dans ce scénario, un attaquant pourrait essentiellement “retirer des fonds pour toujours”, a déclaré Joanes Espanol, CTO de la société d’analyse, Amberdata.

Il expliqua:

Imaginez que mon contrat intelligent comporte une fonction qui appelle un autre contrat … Si je suis un pirate informatique et que je suis capable de déclencher une fonction pendant que la fonction précédente était toujours en cours d’exécution, je pourrais peut-être retirer des fonds.

Ceci est similaire à l’une des vulnérabilités trouvées dans la célèbre attaque de DAO en 2016.

Le rapport de ChainSecurity expliquait qu’avant Constantinople, les opérations de stockage sur le réseau coûteraient 5 000 gaz, soit plus que les 2 300 gaz généralement envoyés lors de l’appel d’un contrat utilisant des fonctions de «Transfer» ou «Send».

Cependant, si le Hard Fork était mis en œuvre, les opérations malveillantes coûteraient 200 gaz. Un «contrat d’attaquant peut utiliser l’allocation de gaz 2300 pour manipuler avec succès la variable du contrat vulnérable».

Constantinople devait auparavant s’activer l’année dernière, mais a été reporté après la découverte de problèmes lors du lancement des mises à niveau sur le Testnet d’Ethereum, Ropsten Network.

Tags

Articles liés

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez notre chaîne Telegram