Entre un bear market qui se prolonge indéfiniment et des scandales de faillite ou d’escroquerie, l’univers crypto est marqué chaque semaine par une nouvelle affaire à la une. Cette fois, il s’agit de révélations relatives à une faille sur le réseau Ethereum, ayant conduit à un vol.
L’agence de sécurité web3 Supremacy a en effet révélé un historique de transactions Etherscan sur lequel on peut relever que des hackers ont été en mesure de détourner jusqu’à 204 ETH de frais de gaz (frais de transactions sur la Blockchain Ethereum). Au cours actuel, cela correspond à un vol de près de 260 000 dollars US.
Comment les hackers ont-ils exploité la faille sur le réseau Ethereum ?
La faille sur le réseau Ethereum ne se situe pas directement sur la Blockchain, mais au niveau d’un service additionnel. Il s’agit du service Alam Clock, proposé via des contrats intelligents ou smart contracts. Un bug sur ce service a donc permis aux pirates de dérober l’équivalent de 260 000 USD.
Le service Alarm Clock est un service sur smart contracts permettant aux utilisateurs de programmer des transactions. Ils peuvent définir l’adresse réceptrice, le montant à envoyer et le moment auquel devra être enclenché l’envoi. Au moment de la programmation, l’utilisateur doit posséder le nombre de jetons qu’il veut envoyer, ainsi que les frais de gaz nécessaires pour la transaction.
Le 19 octobre 2022, PeckShield, une entreprise spécialisée dans l’analyse de données et la sécurité des Blockchains, a publié un tweet sur le sujet. On pouvait y lire que les hackers ont manipulé une boucle contenue dans le processus de planification de la transaction. Ils ont ainsi pu obtenir des bénéfices sur les frais de gaz retournés en cas d’annulation.
Les pirates ont principalement fait appel à la fonction d’annulation que propose le smart contract TransactionRequestCore du projet Alarm Clock. Ils la déclenchent lorsque les frais de transactions se trouvent dans une phase inflationniste. Pendant que le système retourne les frais de gaz selon la procédure établie pour les cas d’annulation, un bug dans le protocole faisait parvenir aux hackers des frais supérieurs à ceux qu’ils avaient payés, la marge leur revenant ensuite, en toute logique.
1/ Interesting attack event, TransactionRequestCore contract is four years old, it belongs to ethereum-alarm-clock project, this project is seven years old, hackers actually found such old code to attack. Here is our short analysis.https://t.co/9CMA7f6AhG pic.twitter.com/h9rxZvZtHv
— Supremacy Inc. (@Supremacy_CA) October 19, 2022
Les hackers sont-ils connus ?
Pour l’heure, les identités des personnes ayant abusé de cette faille ne sont pas encore connues. PeckShield a simplement mentionné avoir détecté 24 adresses ayant utilisé la faille pour percevoir des retours de gaz ETH excessifs. Quelques heures plus tard, Supremacy a fourni un historique de transactions provenant de la plateforme Etherscan. On peut y voir qu’environ 204 ETH ont été malicieusement dérobés.
Des détails manquent encore sur la période exacte couverte par cette attaque, alors que le smart contract utilisé pour le piratage est plutôt ancien.
Faille sur le réseau Ethereum via un service additionnel : un rappel que la sécurité des cryptos demeure un vaste chantier
Les hacks que subissent les crypto-monnaies ou les Blockchains qui les soutiennent sont de plus en plus récurrentes. En dehors de cette faille sur le réseau Ethereum, les experts évoquent régulièrement d’autres failles sur diverses chaînes de blocs. Rien que sur le mois d’octobre (qui n’est d’ailleurs pas encore achevé), 718 millions USD ont déjà été dérobés par des hackers sur une chaîne de blocs, une passerelle de transactions ou des services liés à une crypto. Et cela, c’est sans compter les cas de vol de NFT qui commencent à être enregistrés aussi.
Ces événements doivent sonner comme un rappel pour toute la communauté, en particulier les créateurs de cryptos et les développeurs. La question de la sécurité des devises cryptées doit être traitée avec plus d’ardeur qu’elle ne l’est. C’est à cette seule condition que cette magnifique révolution impactera effectivement de façon positive l’économie mondiale.
Partager
Charles Ledoux
Journaliste Crypto
