Des étudiants exploitent une faille Ethereum : la sécurité de la blockchain entière remise en question 

Matthieu Dumas
| 3 min de lecture

Nous ne parlons pas ici d’un rugpull, d’une faille avec un wallet, de sim swap ou de phishing, non : les deux frères ont réussi à craquer le fonctionnement même de la blockchain Ethereum. Cette affaire, révélée mercredi par le Département de la Justice américain (DOJ), soulève des questions qu’on n’a pas envie de se poser : et si, finalement, la blockchain Ethereum n’était pas si sécurisée que ça ?

Un coup de maître en 12 secondes


En décembre 2022, Anton, 24 ans, et James Peraire-Bueno, 28 ans, ont réussi à voler 25 millions de dollars en seulement 12 secondes en exploitant une vulnérabilité de la blockchain Ethereum.

Le procureur américain Damian Williams n’a pas mâché ses mots : « Ce plan était si sophistiqué qu’il remet en question l’intégrité même de la blockchain. ».

Les frères, diplômés de MIT, ont utilisé leurs compétences en informatique pour orchestrer une attaque jusqu’alors « jamais vu » sur une blockchain.

En seulement 12 secondes, ils ont réussi à détourner 25 millions de dollars, en exploitant des transactions privées en attente sur la blockchain.

Le document de la cour précise qu’il s’agit d’une faille « MEV et MEV-boost ».

Une faille jamais vu qui remet tout en question


Pour comprendre la faille, un petit rappel sur le fonctionnement d’Ethereum s’impose. Le MEV-boost est un logiciel utilisé par la majorité des validateurs de la blockchain Ethereum pour maximiser les profits en assemblant des transactions en attente dans le “mempool” en blocs officiels.

Lorsque des utilisateurs soumettent des transactions à Ethereum, celles-ci sont d’abord placées dans ce mempool avant d’être validées. Les créateurs de blocs utilisent MEV-boost pour organiser ces transactions, tandis que les bots MEV, appelés “chercheurs”, explorent le mempool à la recherche d’opportunités de trading lucratives, parfois en “achetant” l’ordre des transactions auprès des block builders. Les validateurs prennent ensuite ces blocs préconstruits et les ajoutent définitivement à la blockchain.

La faille des frères Peraire-Bueno

Les frères Peraire-Bueno ont donc exploité une faille dans le code de MEV-boost, leur permettant de prévisualiser les transactions avant leur validation officielle. Ils ont créé 16 validateurs Ethereum et ciblé trois traders spécifiques utilisant des bots MEV.

En utilisant des transactions « appâts », ils ont attiré ces bots vers leurs validateurs, les incitant à proposer des transactions. Les frères ont ensuite manipulé les blocs en envoyant de fausses signatures numériques, remplaçant les transactions « appâts » par des transactions truquées : les bots pensaient faire une affaire, alors qu’ils envoyaient en réalités des fonds contre rien en retour.

Cela prouve qu’Ethereum a bel et bien une faille de sécurité critique… Eh oui, car nous ne parlons pas ici d’un rugpull, d’une faille avec un wallet ou du phishing, non : les deux frères ont réussi à craquer le fonctionnement même de la blockchain Ethereum.

Une réaction rapide des autorités


Les frères Peraire-Bueno ont été arrêtés mardi et accusés de complot en vue de commettre une fraude électronique, de fraude électronique et de complot en vue de blanchir de l’argent. Chaque accusation pourrait leur valoir jusqu’à 20 ans de prison.

L’agent spécial Thomas Fattorusso et son équipe, qui ont suivi les traces financières des frères à travers la blockchain. Fattorusso a déclaré :

« Peu importe la complexité de l’affaire, nous continuons à mener les enquêtes sur les crimes financiers avec des technologies de pointe et un travail d’investigation classique, sûr et hors de la blockchain. »

Plan sophistiqué, mais recherche Google ?


C’est sûrement le point le plus fou de cette histoire : le document révèle que les frères ont « soigneusement » préparé leur coup… avec des recherches Google.

Leur historique de recherche montre qu’ils ont cherché comment dissimuler leurs gains, en utilisant des sociétés écrans et des échanges crypto sans procédures de connaissance du client (KYC).

Ils ont même recherché des informations sur le blanchiment d’argent et les avocats spécialisés en crypto ! Par exemple, ils ont cherché des termes comme « comment blanchir de la crypto » et « exchanges sans KYC ». Génies de la blockchain, mais pas d’internet ?

Blague à part, la découverte de cette faille est critique pour Ethereum. En découvrant un exploit qui affecte le fonctionnement même du réseau, les deux frères viennent de prouver que la sécurité et la véracité proposées par la technologie blockchain d’Ethereum n’est peut-être qu’un mythe

Ils nous rappellent aussi que même les technologies les plus avancées peuvent être compromises. À la publication de cet article, ni la fondation Ethereum ni aucun développeur n’a commenté sur l’incident.


Source : Justice.gov (USA)


Sur le même sujet :

Une faille de sécurité met en danger les adresses blockchain des utilisateurs de Nansen

La faille qui permettait à Alameda de perdre jusqu’à 65 milliards de dollars sur FTX