La mise à jour Pectra d' Ethereumsur Sepolia rencontre des perturbations ; un attaquant inconnu mine des blocs vides

La mise à jour Pectra d' Ethereum, très attendue, a rencontré des perturbations sur le réseau de test Sepolia suite à une faille de sécurité ayant entraîné le minage de blocs vides. Déployée le 5 mars, la mise à jour a rencontré des problèmes quelques heures plus tard, lorsque les développeurs ont constaté des messages d'erreur sur leur nœud Geth.

D'après un rapport du Ethereum Marius van der Wijden, l'équipe a découvert un comportement inattendu dans le contrat de dépôttracle réseau de test aux alentours de 7h30 UTC mercredi dernier. Au lieu de déclencher l'événement de dépôt attendu, le contrattracémis un événement de transfert incorrect.

«Peu après l'activation du hard fork, nous avons demandé à Jim McDonald d'effectuer un dépôt pour tester la fonctionnalité de retrait déclenchée par l'exécution ajoutée dans Pectra. Nous avons alors constaté des messages d'erreur sur notre nœud geth et avons commencé à observer le minage de nombreux blocs vides», a expliqué van der Wijden.

Le message d'erreur indiquait : « impossible d'analyser les données de dépôt : longueur incorrecte du dépôt : 576 attendus, 32 disponibles ». Cela signifiait qu'un transfert ERC-20 inattendu, protégé par un jeton detracde dépôt, avait été exécuté, perturbant le comportement attendu de la chaîne. 

Un attaquant inconnu exploite une faille de sécurité non détectée

Wijden a indiqué que les développeurs avaient rapidement déployé un correctif, mais qu'un cas particulier négligé avait permis à un attaquant inconnu d'exploiter la faille. Ce dernier a envoyé un transfert de jetons nuls à l'adresse de dépôt et est parvenu à reproduire la même erreur, entraînant la poursuite du minage de blocs vides.

«Nous avons vérifié le contrat de dépôttracconfirmé que personne ne pouvait déclencher la fonctionnalité de dépôt (car elle est protégée par des jetons et nous n'avons distribué de jetons qu'à des parties de confiance pour Sepolia). Nous avons cependant omis un cas particulier dans la spécification ERC20», a fait remarquer le développeur.

Au départ, les développeurs soupçonnaient un validateur, mais ils ont ensuite réalisé que la transaction provenait d'un nouveau compte approvisionné via un robinet à cryptomonnaie. Ethereums'est alors employée à déployer le correctif sans scinder la chaîne. 

Wijden a expliqué qu'une publication précipitée aurait pu entraîner une fragmentation du réseau, car les nœuds non mis à jour n'auraient pas pu se connecter à la chaîne corrigée. Après avoir évité la crise, ils ont planifié un déploiement conjoint à 14 h UTC, ce qui a permis aux équipes de se préparer.

Après des investigations complémentaires, les développeurs ont découvert la faille : la norme ERC-20 n’interdit pas les transferts de jetons nuls. Autrement dit, n’importe qui, quel que soit le nombre de jetons qu’il possède, pouvait effectuer un transfert de zéro jeton. C’est ce qui a provoqué l’incident de dépôt.

Trois heures et demie avant la correction coordonnée, comme l'a décrit le développeur, Sepolia aurait produit un grand nombre de blocs vides. Afin de rétablir le fonctionnement normal entre-temps, les développeurs ont supprimé les transactions à l'origine de la faille en les remplaçant par des transactions plus rémunératrices. 

Les développeurs ont déployé un correctif privé pour contenir l'attaque

L’équipe d’ Ethereuma mis en œuvre un correctif privé qui a filtré les transactions interagissant avec letracde dépôt. Compte tenu des soupçons selon lesquels l’attaquant surveillait les discussions des développeurs, ils ont décidé de ne pas rendre le correctif public immédiatement. 

« La correction consiste uniquement à filtrer les transactions qui appellent directement le contrat de dépôttracSi nous avions rendu publique la correction, l'attaquant aurait pu contourner notre mesure d'atténuation en appelant le contrattracun autre contrattracCes appels internes déclencheraient toujours l'événement, mais ils ne seraient pas faciles à filtrer lors de la création du bloc », a rapporté Wijden .

Une fois qu'environ 10 % des nœuds du réseau ont été mis à jour, les blocs complets ont recommencé à apparaître. Cela a permis à la chaîne de fonctionner pendant la préparation du déploiement du correctif complet.

À 14 h UTC, tous les nœuds ont été mis à jour avec la nouvelle version contenant le correctif final. Quelques blocs plus tard, la transaction de l'attaquant a été validée, confirmant ainsi que tous les opérateurs de nœuds avaient implémenté le correctif. L'dent n'a pas affecté le réseau principal d' Ethereum, car le problème était spécifique autracde dépôt sécurisé par jetons de Sepolia.

Cela a affecté tous les nœuds, car il s'agissait d'un conflit entre la spécification et l'implémentation dutracde dépôt sur Sepolia

– MariusVanDerWijden (@vdWijden) 9 mars 2025

Interrogé par un utilisateur des réseaux sociaux X sur la question de savoir si « l'attaquant avait quelque chose à gagner » en exploitant la faille du réseau de test, Wijden a répondu : «Non, ils n'avaient rien à y gagner. »

Les difficultés de prix Ethereum persistent : l'activité du marché est faible

Ethereum montre toujours des signes de faiblesse, ayant perdu plus de 10 % de sa valeur la semaine dernière. La deuxième cryptomonnaie en termes de capitalisation boursière oscille autour de 2 000 $, un niveau de support plus bas depuis trois mois, que les analystes prévoient de voir baisser davantage.

D'après les indicateurs techniques du marché, l'ETH poursuit sa tendance baissière, avec des sommets et des creux de plus en plus bas et des moyennes mobiles baissières. Si Ethereum ne parvient pas à se maintenir au-dessus de 2 000 $, les analystes prévoient que les prochains niveaux de support majeurs se situent entre 1 800 $ et 1 700 $. 

Bien que l'indice de force relative (RSI) à 30,45 suggère un rebond potentiel à court terme, la résistance à 2 200 $ est un niveau que la pièce n'a pas réussi à franchir depuis plus de 24 heures.