Une vulnérabilité majeure menaçait Ethereum (ETH) depuis 18 mois

Le grand public savait que le hard fork “Berlin” de Ethereum (ETH) avait été mis en place le mois dernier. Ce que la majorité des gens ignorent, c’est que cette opération s’accompagnait d’une solution pour réduire le risque d’une attaque DoS (déni de service), qui plane sur le réseau depuis plus d’un an et demi.

L’information a été rendue publique dans un article du 18 mai rédigé par Péter Szilágyi, développeur d’Ethereum, et Martin Holst Swende, responsable de la sécurité au sein de la Fondation Ethereum : cette menace ” constituait un danger réel sur le réseau jusqu’au hard fork Berlin”.

Cette vulnérabilité a été un “secret de polichinelle” pendant longtemps, ont-ils dit, révélée publiquement par erreur au moins une fois. Les développeurs estiment “que la menace est désormais suffisamment faible pour que la transparence l’emporte”.

Ils ajoutent qu’il est “important que la communauté ait la possibilité de comprendre le raisonnement derrière les changements qui affectent négativement l’expérience utilisateur, comme l’augmentation du coût du gaz et la limitation des remboursements.”

Le rapport est brièvement entré dans les détails techniques, expliquant que l’état d’Ethereum est constitué d’un “patricia-merkle trie” (la structure de données utilisée pour le stockage) et qu’à mesure que de nouveaux comptes sont ajoutés au réseau, de nouvelles “feuilles” se forment, et pour ainsi dire, le “trie” devient plus dense.

Par ailleurs, à mesure que le réseau se développe, de nouvelles propositions d’amélioration d’Ethereum (EIP) ont été introduites pour augmenter le prix du gaz pour les opérations qui accèdent au “trie”, et pour se protéger contre les attaques DoS. L’une d’entre elles était l’EIP-1884, activée en décembre 2019, lors de la mise à niveau “Istanbul”.

Mais en octobre 2019, les experts en sécurité d’Ethereum, Hubert Ritzdorf, Matthias Egli et Daniel Perez ont trouvé un moyen d’exploiter cette vulnérabilité pour attaquer le réseau. Cette découverte a été soumise au programme de primes aux bugs (bounty hunt) d’Ethereum. L’examen a conclu que “les modifications apportées par l’EIP-1884 avaient eu un impact certain sur la réduction des effets de l’attaque, mais que c’était loin d’être suffisant.”

Les développeurs de Geth, Nethermind, OpenEthereum, Besu, Parity et Aleth ont été informés de la soumission le jour même sur un canal dédié à la sécurité inter-clients, indique l’article, qui ajoute que les développeurs d’Ethereum Classic (ETC) ont également reçu le rapport.

“Alors que l’année 2019 touchait à sa fin, ces problèmes étaient plus importants que ce que nous avions prévu et les transactions malveillantes pouvaient entraîner des blocages de l’ordre de la minute.”

Il y avait deux approches pour trouver une solution :

• essayer de résoudre le problème au niveau de la couche protocolaire, de préférence sans rompre les contrats et sans pénaliser les “bons” comportements, mais en parvenant à prévenir les attaques ;
• résoudre le problème par le biais de l’ingénierie logicielle, en modifiant les modèles de données et les structures au sein des clients.

Le 15 avril de cette année, après plusieurs propositions rejetées, l’EIP-2929 et son compagnon l’EIP-2930 ont été intégrés à la mise à niveau “Berlin” – qui ne rompt aucun flux contractuel et qui a augmenté le prix du gaz “uniquement pour les éléments auxquels nous n’avons pas déjà eu accès” afin de prévenir l’attaque.

Il est important de noter que ce n’est pas la première fois qu’une menace est divulguée quelques années après sa découverte, et les développeurs affirment que c’est pour une très bonne raison.

En septembre 2020, un document de recherche a révélé que Bitcoin (BTC) abritait une grave vulnérabilité de déni de service – qui a été découverte et corrigée en juin 2018, sans que le public le sache pendant deux ans.

Selon les développeurs qui se sont adressés à Cryptonews.com à l’époque, il est dans l’intérêt du réseau et de ses utilisateurs de garder les bogues logiciels secrets et de n’en informer rapidement que quelques développeurs/propriétaires de code par le biais de messages cryptés, au moins jusqu’à ce qu’un correctif soit mis en place.

________

Suivez nos liens d’affiliés:

Pour acheter des cryptomonnaies en Zone SEPA, Europe et citoyens français, visitez Coinhouse

Pour acheter des cryptomonnaies au Canada, visitez Bitbuy

Pour générer des intérêts grâce à vos bitcoins, allez sur le site de BlockFi

Pour sécuriser ou stocker vos cryptomonnaies, procurez-vous les portefeuilles Ledger ou Trezor

Pour investir dans le minage ou les masternodes:

• Sur Feel Mining
• Sur Just Mining

Pour accumuler des cryptos en jouant:

• Au poker sur la plateforme de jeux CoinPoker
• À un fantasy football mondial sur la plateforme Sorare

Si vous voulez en apprendre plus sur le Bitcoin et l’investissement dans les cryptomonnaies, voici deux livres parfaits: “Comprendre Bitcoin en 2h” et “Investir dans Bitcoin“.

Regardez la dernière vidéo “Les 5 actus cryptos de la semaine”:

________________

Voici les sources d’informations qu’on vous propose:
Notre newsletter hebdomadaire gratuite: https://www.getrevue.co/profile/CryptonewsFR
Notre podcast audio: https://www.buzzsprout.com/1111262
Notre chaîne YouTube: https://www.youtube.com/channel/UCEu7E2wqP3t3QzAWTWF9weg
Twitter: https://twitter.com/cryptonews_FR
Instagram: https://www.instagram.com/fr_cryptonews
Facebook: https://www.facebook.com/cryptonewsFR
Telegram: https://t.me/cryptonews_FR

_________