Plus de 150 millions $ gelés suite à une seconde vulnérabilité critique du portefeuille Ethereum ‘Parity’

 

Les fabricants du portefeuille ‘Parity multi-sig’ d’Ethereum ont annoncé une vulnérabilité critique qui a entraîné le gel de millions de dollars de fonds. C’est la deuxième faille découverte suite à la violation en juillet dernier, qui a entraîné le vol de 30 millions de dollars d’ether.

‘Parity’ découvre le deuxième défaut en cinq mois

Les utilisateurs du populaire ‘Parity Ethereum Wallet’ ont été laissés vaciller après que ses développeurs ont révélé la découverte d’un défaut de sécurité. La menace, qualifiée de critique, a rendu tous les contrats multi-sig inutilisables et a bloqué des centaines de millions de dollars d’ether. La nouvelle ne pouvait pas être pire à Parity, qui se battait pour restaurer sa réputation après le piratage embarrassant de juillet qui a provoqué le vol d’au moins 150 000 éthers. Le vol d’origine aurait été pire s’il n’y avait pas eu des actions de hackers de chapeaux blancs qui ont aidé à récupérer 377 000 éthers supplémentaires.

Après le piratage, Parity a publié un correctif pour l’exploit, déployant un nouveau contrat destiné à résoudre le problème. Il est maintenant apparu que le nouveau code contenait une autre faille qui permettait de convertir le contrat de bibliothèque dans le portefeuille de parité en un portefeuille multi-sig classique. Par conséquent, un individu a pu utiliser la fonction ‘initWallet’ pour prendre possession du portefeuille.

Des fonds -Multi-Sig- gelés

Dans un article de blog expliquant la dernière faille, l’équipe Parity a déclaré:

« Il semblerait que le problème a été déclenché accidentellement le 6 novembre 2017 à 14:33:47 + UTC, et par la suite un utilisateur a endommagé la bibliothèque transformée en portefeuille, effaçant le code de la bibliothèque qui à son tour rendait tous les contrats multi-sig inutilisables depuis leur logique (toute fonction de modification d’état) était à l’intérieur de la bibliothèque ».

L’article conclut en disant: «Cela signifie qu’aucun fond ne peut être retiré des portefeuilles multi-sig.» On estime que 152 millions de dollars d’ether ont été gelés à la suite des nouvelles d’aujourd’hui, les sociétés dont Polkadot déclarant qu’elles n’ont pas pu accéder à leurs fonds.

Un certain nombre d’entreprises de haut niveau ont perdu des ethers lors du hack multi-sig qui a eu lieu vers le 19 juillet. Parmi eux, Aeternity, Edgeless Casino et Swarm City, ce dernier perdant plus de 44 000 ethers. Bien qu’il n’y ait pas encore de rapports confirmant que des fonds ont été volés à cette occasion, il s’agit d’une période inquiétante pour l’entreprise Parity.

La société a décidé de discréditer les rapports circulant sur les médias sociaux selon lesquels des fonds ont été volés à nouveau à cette occasion, qualifiant de «spéculative» l’utilisation d’ether volé. L’expression «au meilleur de nos connaissances» est peu susceptible d’inspirer confiance aux clients qui pourraient être touchés par la vulnérabilité. Parity étudie actuellement la question et a promis de publier prochainement une autre mise à jour.

 

Graphique: Raji Larbi

Tags

Articles liés

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez notre chaîne Telegram
Close