Un pirate informatique choisit une prime de 2 millions de dollars pour un bug plutôt que d'imprimer de l'« Ether » à volonté

Résumé en bref

• Le pirate informatique Jay Freeman choisit une prime de 2 millions de dollars pour la découverte de son bug, au lieu de créer une réserve infinie d’« Ether »
• Ce n'est pas la première fois Ethereum est piraté. Ces dernières années, il a été la cible de nombreuses attaques informatiques.

Ces dernières années, des pirates informatiques ont dérobé des millions de dollars d' Ethereum. Plus tôt ce mois-ci, un pirate se revendiquant « grey hat » a découvert comment exploiter Optimism, la solution de mise à l'échelle Ethereum , pour créer de fait une quantité illimitée d'Ether.

Le hacker Jay Freeman choisit une prime à la chasse aux bugs

Une autre perte considérable a été évitée grâce à l'ingénieur logiciel Jay Freeman, connu sous le pseudonyme de Saurik et créateur du logiciel de jailbreak Cydia pour iOS. Il n'a pas exploité la faille de sécurité. Au lieu de cela, il a informé l'équipe de développement d'Optimism du problème, qui lui a versé une prime de 2 millions de dollars pour la découverte de ce bug.

Parmi les projets les plus récents de Freeman figurent la recherche de failles dans les systèmes de blockchain. Il a découvert l'erreur en étudiant les protocoles de paiement dits « nano ». Il a mis au jour un bug dans le code d'Optimism qui ordonne auxtracintelligents de s'autodétruire et de restituer l'Ether associé à l'expéditeur. Cestracintelligents pourraient ensuite être exploités pour créer de l'Ether de couche 2.

Les utilisateurs utilisent le protocole Optimism pour échanger de petites quantités de cryptomonnaie avec des frais de transaction minimes, malgré certains risques de sécurité. De plus, la plateforme crée des jetons Ether distincts qui n'existent que sur le réseau Optimism.

Ce petit bug aurait pu entraîner la création d'une quantité illimitée d'Ether et, par conséquent, provoquer un véritable chaos dans le secteur des cryptomonnaies. Ces bugs sont appelés failles de dépassement de capacité. Ce sont des failles de sécurité qui permettent aux attaquants de contourner les défenses du réseau. En 2010, une personne a exploité une faille du logiciel Bitcoin pour créer 184 milliards de BTC.

Le pirate informatique a fait remarquer que quelqu'un d'Etherscan, l'explorateur de la blockchain Ethereum , avait découvert la faille la veille de Noël l'année dernière, mais n'en avait peut-être pas perçu l'importance.

Ethereum devient vulnérable aux piratages

Les piratages de la cryptomonnaie Ethereum ont commencé en 2016. En juin de cette année-là, un individu non identifié a commencé à voler de l'argent à la première organisation autonome décentralisée (DAO) d' Ethereum. Cette DAO avait été créée quelques semaines auparavant, suite à une levée de fonds participative de 150 millions de dollars.

En raison d'un code défectueux présentant des failles, lestracintelligents Ethereum sont vulnérables au piratage. En janvier 2022, Crypto.com, l'une des principales plateformes d'échange de cryptomonnaies au monde, aurait été victime d'un piratage. Selon les informations disponibles, les pirates auraient dérobé au moins 15 millions de dollars en Ethereum.

L'exemple le plus récent de piratage exploitant une faille de sécurité est celui du vol de 325 millions de dollars commis par des hackers sur la Wormhole suite à une erreur de code sur GitHub. L'attaque a eu lieu le 2 février et a été découverte lorsqu'un tweet du compte Twitter de Wormhole annonçait une maintenance.

L'équipe de Wormhole a ensuite offert au pirate une récompense de 10 millions de dollars pour qu'il restitue l'argent, somme qui figurait dans une transaction envoyée à l'adresse du portefeuille Ethereum de l'attaquant.