Une erreur de codage ‘accidentelle’ gèle des centaines de millions de dollars en Ethereum

Une erreur de codage gèle jusqu’à 280 millions de dollars en cryptomonnaie Ethereum

Les utilisateurs multisignatures d’Ethereum ont peut-être perdu définitivement l’accès à environ 280 millions de dollars de fonds lorsqu’un développeur a accidentellement supprimé la bibliothèque de code de Parity Technologies en essayant de corriger un défaut pour empêcher les hackers de voler des fonds de plusieurs portefeuilles à signatures multiples. Ce qui est ironique, c’est que le code accidentellement supprimé était une correction d’un problème précédent trouvé lors d’un piratage en juillet qui a vu des hackers voler 32 millions de dollars des portefeuilles Ethereum de Parity.

Pour ceux qui ne le savent pas, Ethereum, la deuxième plus grande cryptomonnaie après Bitcoin, fournit un jeton de cryptomonnaie ou des pièces virtuelles appelées « ether », qui peuvent être transférées entre des comptes. D’autre part, Parity Technologies est un grand fournisseur de portefeuilles de cryptomonnaie utilisé par beaucoup pour interagir avec la blockchain Ethereum.

Parity a émis une alerte de sécurité critique mardi, avertissant d’une vulnérabilité dans le contrat de bibliothèque Parity Wallet. L’« accident » de codage a affecté tous les portefeuilles multisignatures de Parity, qui nécessitent qu’un utilisateur signe la transaction d’un autre avant qu’elle ne soit ajoutée à la blockchain Ethereum, et qui ont été créés après le 20 juillet.

Apparemment, un utilisateur sur le forum des développeurs GitHub, qui se fait appeler « Devops199 », a découvert que le code de la bibliothèque partagée n’était pas correctement sécurisé car le propriétaire n’avait pas encore été assigné. Devops199 a « accidentellement » déclenché une fonction qui a transformé le contrat régissant les portefeuilles multisignatures de Parity en une adresse de portefeuille ordinaire et a fait de lui ou elle le seul « propriétaire » de tous les portefeuilles à signatures multiples postérieurs au 20 juillet. Après s’être rendu compte de cela, lorsque Devops199 a essayé de « tuer » ce contrat de portefeuille, il a fini par supprimer définitivement le code de la bibliothèque partagée de la blockchain Ethereum. En d’autres termes, à cause de la suppression, tous les autres portefeuilles à signatures multiples qui utilisent ce code de bibliothèque partagé ne pouvaient plus y faire appel et transférer des fonds hors des portefeuilles, les rendant inaccessibles.

Parity explique : « Il semblerait que ce problème ait été déclenché accidentellement le 6 novembre 2017 et qu’ensuite un utilisateur ait suicidé la bibliothèque devenue portefeuille, effaçant le code de la bibliothèque qui, à son tour, a rendu tous les contrats multi-sig inutilisables puisque leur logique (toute fonction modifiant l’état) était à l’intérieur de la bibliothèque. »

En théorie, les fonds n’ont pas disparu ni été volés, et Parity a déclaré qu’elle cherchait une solution. Elle a exprimé des regrets pour le « grand stress et la confusion » que l’incident a causés .

« Parity Technologies tient à rassurer tout le monde que nous analysons la situation . Nous travaillons encore sur le chiffre final et ne voulons pas divulguer de chiffres spéculatifs. Aucun ether n’a été volé, » a déclaré la société dans un communiqué.

Elle a également averti les utilisateurs de ne pas ouvrir de nouveaux portefeuilles multisignatures, ou de transférer de l’ether « vers des portefeuilles qui ont été déployés et sont déjà en usage, » jusqu’à ce que le problème soit résolu.

Cependant, il n’est pas encore clair si Parity a pu rectifier l’erreur.

Source : Motherboard