Crash d'Ethereum

La DAO, une agence d’investissement basée dans la chaîne d’Ethereum, subit actuellement un énorme piratage, semblable à un braquage de banque, dans lequel une seule personne a déjà siphonné Ether d’une valeur de plus de 43 millions de dollars aux valeurs actuelles. Le pirate profite de la «vulnérabilité des appels récursifs», un problème connu de la formule de DAO que les dirigeants du réseau ont consciemment décidé de ne pas poser de menace sérieuse. Le hack a fait chuter les valeurs d’Ethereum, le prix de la crypto-monnaie ayant chuté de 10% à 17,68 USD en quelques heures.

Depuis vendredi matin, Gemini, la seule bourse approuvée par le gouvernement qui négocie actuellement dans Ether, n’a pas suspendu la négociation et les utilisateurs des forums de discussion Ethereum discutaient vivement de la question de savoir si la «fourchette» proposée constituerait un coup de force des dirigeants de la devise.

$ ETH Hacker détient désormais 4,4% de la totalité de l’éther en circulation, une participation presque aussi importante que celle de Satoshi dans Bitcoin.

- Tuur Demeester (@TuurDemeester) 17 juin 2016

La vulnérabilité «appel récursif» se produit lorsqu'un utilisateur appelle un groupe de la DAO pour créer un DAO enfant, puis appelle un groupe de manière récursive dans le compte séparé vers un troisième DAO enfant qu'ils contrôlent entièrement. Ce processus permet à un attaquant de siphonner un nombre presque illimité de pièces de la DAO d'origine contenant plus de 150 millions de dollars en valeur totale. La seule bonne nouvelle est que le pirate informatique ne sera pas en mesure de transférer les pièces en Bitcoin ou en espèces pendant 27 jours, ce qui laissera à la communauté DAO le temps de s’attaquer au problème s’ils peuvent s’entendre sur la manière de le faire.

Toute solution nécessiterait cependant l'accès au «DAO enfant» contrôlé par l'attaquant, ce que beaucoup de membres de la communauté craignent de faire, car techniquement, le DAO appartient au pirate informatique. Selon certains, la fiabilité du DAO réside dans sa rigidité. Si le code le permet, il est légal et autorisé. Si le code ne le permet pas, cela ne peut pas être fait. Ainsi, puisque le pirate a pu exploiter cette vulnérabilité, il n’a techniquement pas enfreint de règles.

«Le DAO ne fonctionne-t-il pas comme prévu? Si une faille a été programmée, pourquoi devrait-elle être corrigée à moins qu’il s’agisse d’une faille dans Ethereum lui-même? », L’utilisateur le plus voté sur un fil Reddit traitant du piratage écrit.

DAO Ethereum bug trouvé. Quelqu'un vole tout le DAO Ether. http://t.co/8PzO0I2XR3 #bitcoin

- Datavetaren (@Datavetaren) 17 juin 2016

Ethereum lui-même n'est pas attaqué, mais uniquement le DAO, qui est une entité d'investissement distincte qui fonctionne selon les principes de la blockchain sous-jacente à Ether. Néanmoins, les problèmes de DAO semblent avoir une incidence sur le prix de l’Ethereum, une partie de la valeur de la devise reposant probablement sur les possibilités inhérentes aux technologies de blockchain telles que la DAO. Si les initiatives décentralisées telles que la DAO continuent de faiblir, comme le suggère la nouvelle histoire, peu de personnes seraient disposées à investir leur argent dans des projets encore plus ambitieux.

Le DAO a été piraté. Des millions d'éther volés.

- Andrew DeSantis (@desantis) 17 juin 2016

Les propositions actuelles visant à résoudre le problème doivent encore attendre au moins 27 jours avant que le pirate informatique puisse s'en aller avec les millions restants dans le «DAO enfant» à ce moment-là. Si la communauté ne peut pas s'unir pour empêcher l'attaquant de patiner, cela pourrait conduire à une vente massive au sein de la DAO et à un éventuel crash d'Ethereum. La meilleure nouvelle pour les détenteurs d’Ether est peut-être que les pièces de hackers n’ont de valeur que dans la mesure où Ethereum lui-même est valable. Ainsi, même s’ils risquaient d’écraser l’ensemble du DAO, il se pourrait bien que cela ne leur incombe pas. Mais, bien sûr, Internet est un lieu étrange et tout est possible.

Correction 14/07/17: Dans une version antérieure de cet article, le porte-parole de la fondation Ethereum, George Hallam, était incorrectement qualifié de développeur DAO.