Donc, la blockchain d’Ethereum est toujours attaquée…

Vous ne l’avez peut-être pas remarqué, mais Ethereum est attaqué.

Ce qui a commencé il y a plus de deux semaines avec des attaques de spam qui ont conduit à des attaques à grande échelleEthereumLes pannes de nœuds ont dégénéré en une bataille qui a opposé les développeurs de la plateforme à des antagonistes inconnus. Cela peut ressembler à un film hollywoodien passionnant, mais cela s'est principalement déroulé sur des forums et avec du code.

Les premiers coups de feu ont été tirés lors de la grande conférence des développeurs d'Ethereum, Devcon2, avec un message mystérieux écrit en allemand et délivré via la charge utile de la méthode de transaction. Le message disait « Rentrez chez vous », mais pour ceux qui ont suivi les changements controversés du réseau cet été, la signification complète était claire.

Depuis lors, la création de blocs et les transactions ont continué d'être affectées, les nœuds se synchronisant plus lentement avec le réseau. Mais bien que divers correctifs aient été mis en œuvre depuis, l'attaquant continue de trouver des vulnérabilités à exploiter et, à son tour, de créer de nouvelles façons de lancer des attaques par déni de service (DoS).

Résultat : le réseau est inondé de spams transactionnels.

Le cofondateur de Blockstack, Muneeb Ali, a qualifié cela de « jeu du chat et de la souris » qui pourrait potentiellement continuer à ralentir les transactions sur le réseau, le deuxième plus populaire en termes de capitalisation boursière.

La plupart des attaques ont jusqu'à présent affecté les nœuds exécutant le client Ethereum version Go (Geth), l'implémentation la plus populaire d' Ethereum, bien que Parity, un client alternatif publié lors de la conférence, ait été impacté dans certains cas.

La dernière version, intitulée « Dear Diary », vise à arrêter la « cause profonde » de nombreuses attaques grâce à une technique appelée « journalisation ».

Anatomie d'une attaque

Un problème qui est apparu pour les développeurs clients est que ceux qui sont derrière l’attaque changent constamment de tactique.

L'attaquant ou les attaquants déploient des contrats intelligents sur la blockchain Ethereum , puis effectuent des transactions qui ont un impact sur la manière dont les clients gèrent les données, les ralentissant au point que les blocs et les transactions sont retardés.

(Pour un aperçu de ce qui se passe, voir lebarrage de petites transactionsenvoyé par l'attaquant pour submerger le réseau).

La première ligne d'attaque ciblait un bug de mémoire insuffisante, que l'équipe Geth a décidé de corriger dans une mise à jour logicielle ultérieure.

« Dans Ethereum, ONEun des défis est que nous avons cette énorme base de données qui croît beaucoup plus vite, par exemple, que Bitcoin», a déclaré le développeur Ethereum Péter Szilágyi, qui travaille sur Geth, ajoutant que les attaquants ont profité de ce problème.

« Nous n’avons jamais pensé à ce vecteur d’attaque », a-t-il ajouté.

L'accent mis sur Geth a incité certains utilisateurs à créer des nœuds en utilisant Parity. À la suite des premières attaques, la plupart des mineurs ont opté pour cette solution.

Cependant, Geth reste de loin le client le plus populaire,numérotageprès de 7 000 nœuds contre 900 pour Parity, même si les chiffres fluctuent constamment.

De son côté, Hudson Jameson, consultant informatique de la Fondation Ethereum, a souligné que l'équipe Geth avait réussi à résoudre tous les problèmes rencontrés jusqu'à présent. Cet argument a également été repris par Jonathan Toomim, mineur Ethereum , qui a qualifié les correctifs déployés en quelques jours d'« impressionnants ».

« Le réseau continuera à fonctionner et ces attaques nuisibles finiront par cesser », a-t-il expliqué.

Cependant, la durée de cette période reste incertaine. Chaque fois que Geth ou Parity publie une mise à jour, l'attaquant découvre une nouvelle vulnérabilité.

Ceux qui sont derrière ces attaques ne semblent T se soucier du coût de ces attaques, ayant dépensé des milliers de dollars d'éther – la Cryptomonnaie du réseau Ethereum – pour alimenter les attaques.

« À ce jour, l'attaquant a dépensé plus de 3 000 dollars d'éther, uniquement en frais de gaz », a estimé Jameson.

Impact sur les utilisateurs

Beaucoup soutiennent que les attaques sont une conséquence inévitable de la façon dont Ethereum est conçu, et qu'il a un «grande surface d'attaque."

Plus de capacités sur la plateforme signifie qu'il y a plus d'opportunités de problèmes, du moins par rapport à d'autres réseaux blockchain, qui sont moins ambitieux.

« Le problème principal réside dans la conception Ethereum . L'exposition est trop importante, ce qui permet à un attaquant de déclencher certaines actions ou d'effectuer certains types de transactions », a déclaré Ali. « Voyez les choses ainsi : Ethereum laisse trop de liberté quant à ce qu'il peut faire sur l'ordinateur d'autrui. »

Même si les nœuds Geth ne plantent plus complètement, cela a entraîné un réseau globalement plus lent, rendant Ethereum moins accessible à quiconque souhaite créer un contrat intelligent ou envoyer une transaction.

Depuis les attaques, certains utilisateurs ont signaléavoir des problèmes accéder à leurs fonds avec Mist, le portefeuille Ethereum populaire.

Un utilisateur a même observé lors du changement de pool que la rentabilité du minage avait diminué pour piscines plus petites, ce qui est potentiellement une préoccupation pour un écosystème qui ne veut T que les plus gros mineurs aient plus de contrôle.

Le réseau est également plus vulnérable dans son ensemble si tous ses nœuds ne fonctionnent pas correctement.

« Le fait que de grandes parties des nœuds ou des mineurs quittent le réseau ou prennent du retard est naturellement assez grave, car de telles attaques peuvent être le prélude à une attaque de double dépense », a déclaré Jameson.

Cependant, certains utilisateurs semblent imperturbables, et de nombreux développeurs continuent de travailler sur d'autres projets. Deux projets Ethereum , FirstBlood et SingularDTV, ont organisé des ventes participatives pour lever des fonds malgré l'attaque.

Trouver une solution

Pour réduire l’impact, les développeurs ont proposé des idées pour résoudre le problème avec des changements à moyen et long terme, dans ce que Jameson appelle un « effort à l’échelle de l’écosystème ».

«ONEune des solutions est de rendre plus coûteuse la réalisation de ce type d’attaques », a déclaré Szilágyi.

Il a expliqué que l'augmentation des prix de certaines commandes Ethereum pourrait signifier des changements au niveau du protocole pour Metropolis, la prochaine grande version logicielle d'Ethereum qui est censée être plus conviviale pour les développeurs.

Jameson a également mentionné le redémarrage duprogramme de primes, grâce auquel les développeurs peuvent gagner des Bitcoin en détectant et en signalant des bugs. « De cette façon, les utilisateurs peuvent signaler leurs failles en toute légitimité au lieu d'attaquer le réseau », a-t-il déclaré.

Cependant, il espère que la détection de ces bugs rendra Ethereum plus fort à la fin.

« À long terme, ces attaques augmentent la résilience du réseau Ethereum », a ajouté Jameson, affirmant que la diversité des clients empêche une attaque d'impacter tous les nœuds.

Rôle de la fondation

D’autres semblent penser qu’il n’est pas certain que l’ Ethereum puisse se rétablir rapidement.

« La Fondation Ethereum essaie de les minimiser et de tourner la situation dans le bon sens, en disant que les attaques aideront à renforcer le réseau », a déclaré Arvicco, développeur principal Ethereum Classic .

Bien que ces commentaires ne soient pas surprenants étant donné qu’il dirige un projet alternatif, ils soulignent le sentiment général de ceux qui ont critiqué l’organisation qui finance le développement du protocole et sa gestion de la situation.

D’autres ne savent pas encore quoi en retenir.

Ali a déclaré qu'il pensait que l'équipe Ethereum avait fait du bon travail jusqu'à présent pour remédier aux vulnérabilités.

Il a néanmoins suggéré qu'il n'y aurait peut-être pas de fin en vue si les motivations idéologiques visant à perturber le réseau persistaient sans relâche, mais que cela pourrait finalement être le meilleur résultat.

« [D'ici là,] la plupart des problèmes pratiques du logiciel sont résolus, de sorte qu'il devient suffisamment difficile à utiliser et ne pose plus de problème », a-t-il déclaré, ajoutant :

« Je pense que c’est difficile à prédire. »

Pete Rizzo a contribué au reportage.

Image de soldat de plombvia Shutterstock