Des jetons Ethereum d'une valeur d'un milliard de dollars vulnérables à une « attaque par faux dépôt »

Selon une nouvelle étude, plus d'un milliard de dollars de jetons sur la blockchain Ethereum ne disposent pas d'une norme logicielle publiée en 2017, ce qui les expose à être détournés et drainés des échanges commerciaux.

La vulnérabilité logicielle, appelée exploit de faux dépôt, a été identifiée chez 7 772 émetteurs de jetons ERC-20, selonrecherchede l'Université de Pékin, de l'Université des Postes et Télécommunications de Pékin, de l'Université du Zhejiang et de l'Université du Queensland.

L'étude indique qu'en manipulant le code des contrats intelligents, ou scripts de programmation, des jetons ERC-20 cotés sur les plateformes d'échange de Cryptomonnaie avec des méthodes de vérification des transactions défaillantes, un pirate informatique peut frauduleusement détourner des sommes exorbitantes à un coût quasi nul. L'attaque par faux dépôt pourrait alors faire planter la plateforme d'échange, entraînant la perte des fonds des détenteurs de jetons ERC-20 et d'autres cryptomonnaies.

Sur le même sujet : Comment fonctionnent les contrats intelligents Ethereum ?

Certains détenteurs pourraient également avoir des difficultés à accéder aux services publics achetés avec les jetons ERC-20, qui sont de plus en plus liés à des biens et des nécessités tels que l'énergie, l'immobilier et les assurances.

« Si l'attaque par faux dépôt est menée à bien, ce sera assurément un désastre pour le jeton », a déclaré ONEun des chercheurs, Haoyu Wang, professeur associé d'informatique à l'Université des Postes et Télécommunications de Pékin. « Dans le pire des cas, le jeton devra être réémis. »

Corrections possibles

Les contrats intelligents étant permanents sur la blockchain Ethereum et irréversibles, il incombe aux plateformes d'échange de Cryptomonnaie de corriger les procédures des jetons ERC-20, déjà vulnérables aux attaques de faux dépôts. Fabian Vogelsteller, le développeur Ethereum à l'origine des jetons ERC-20, a déclaré que les plateformes d'échange de Cryptomonnaie peuvent mettre sur liste noire les contrats de jetons malveillants.

Sur le même sujet : Les ventes de jetons sont de retour en 2020

Lei Wu, professeur associé en cybersciences à l'Université du Zhejiang et membre de l'équipe de recherche, a également suggéré de publier des contrats intelligents dits proxy afin de KEEP la possibilité de remplacer les anciens contrats intelligents Ethereum . Cependant, certains développeurs Ethereum ont évité d'écrire des contrats intelligents proxy, car ils comportent des risques de sécurité.

Pour les jetons ERC-20 en cours de développement, la Fondation Ethereum recommande aux développeurs de la blockchain Ethereum de mettre en œuvre la norme logicielle de contrat intelligent de protection comme mesure de sécurité contre les échanges de Cryptomonnaie inattentifs, ont déclaré Wang et Wu.

Comment ça marche : Duplication de transaction

Un contrat intelligent ERC-20 sans la norme logicielle de la blockchain Ethereum EIP-20, introduit en 2017, s'appuie sur ce que l'on appelle en informatique une instruction de programmation conditionnelle pour vérifier l'insuffisance du solde des jetons. Cette instruction conditionnelle génère une instruction « return false » qui empêche la clôture d'une transaction de jetons. Cette instruction « return false » est à la base de l'attaque par faux dépôt sur les plateformes d'échange de Cryptomonnaie qui n'effectuent pas de contrôles de sécurité après l'appel des fonctions de programmation « transfer » et « transferFrom ».

L'attaque commence par l'émission d'un contrat intelligent ERC-20 sur une plateforme d'échange de Cryptomonnaie et le transfert ONEun jeton ERC-20 vers un compte d'échange. Sur une plateforme décentralisée, la fonction de programmation « depositToken » peut ensuite indiquer à la fonction « transferFrom » de déposer le nombre de jetons souhaité sur le compte de l'attaquant. Sur une plateforme centralisée, c'est la fonction « transfer » qui est appelée, les champs « _to » et « _value » du contrat intelligent étant définis avec l'adresse du compte de l'attaquant et le montant de jetons souhaité.

Quels jetons ERC-20 sont à risque ?

Les jetons vulnérables générant les volumes d'échange les plus importants sur les plateformes d'échange décentralisées, CloudBric, MovieCredits, BullandBear, LOVE et EtherDOGE, ont connu peu, voire aucune activité, selon l'étude. Ces jetons ERC-20 circulent sur trois plateformes d'échange décentralisées, IDEX, DDEX et Ether Delta, qui ont corrigé la vulnérabilité ce mois-ci, selon les chercheurs de l'étude.

Sur le même sujet : Les volumes d'échange décentralisés ont augmenté de 174 % en juillet, dépassant les 4,3 milliards de dollars et établissant un deuxième record consécutif

En revanche, 7 716 jetons ERC-20 vulnérables à l'attaque par faux dépôt – soit 99,2 % des jetons identifiés – sont cotés sur des plateformes d'échange centralisées telles que Binance, Coinbase, OkEx et Kraken. Les jetons concernés sur ces plateformes, où s'échange la majeure partie des jetons ERC-20 manquant à la norme, étaient évalués à plus de 1,1 milliard de dollars en avril.

Le jeton BRC de Baer Chain, le Basic Attention Token du navigateur Web de Politique de confidentialité Brave (BAT), le jeton HPT de la bourse chinoise de Cryptomonnaie Huobi, le jeton RPL du service d'applications Ethereum Rocket Pool et le jeton PWR de la blockchain du réseau électrique Power Ledger ont enregistré les capitalisations boursières les plus élevées parmi les jetons vulnérables détenus sur les bourses centralisées. Environ 391 000 $ en 87 000 BRC, 388 000 $ en 305 000 BAT, 63 000 $ en 1 000 HRT, 39 000 $ en 3 000 RPL et 28 000 $ en 50 000 PWR ont été touchés, selon l'étude.

Identification limitée

Interrogés, les informaticiens ont refusé d'identifier les cryptomonnaies Ethereum concernées, hormis celles affichant les cinq plus gros volumes sur les plateformes décentralisées et les cinq plus grosses capitalisations boursières sur les plateformes centralisées. Ils n'ont pas non plus identifié les plateformes centralisées qui n'avaient pas mis en œuvre les procédures de sécurité recommandées pour les jetons Ethereum .

« Parmi les vulnérabilités et attaques que nous avons identifiées, certaines ont été confirmées », a déclaré Wang. Ni les chercheurs ni PeckShield, une entreprise de sécurité blockchain qui a collaboré avec l'équipe de recherche, ne choisissent d'identifier publiquement d'autres jetons vulnérables que les dix connus, a précisé Wang.

Yan Zhu, responsable de la sécurité de l'information de Brave Software, a déclaré que la vulnérabilité n'est pas liée au portefeuille du navigateur Brave et que les jetons d'attention de base affectés ont été déployés sans contrats intelligents proxy avant que la norme EIP-20 de la blockchain Ethereum ne soit modifiéen 2017 pour intégrer l'implémentation logicielle qui empêche l'attaque par faux dépôt.

Sur le même sujet : Gemini Crypto Exchange s'intègre au navigateur Brave, axé sur la confidentialité.

Power Ledger, quant à lui, a déployé ses jetons ERC-20 concernés même après la publication par la Fondation Ethereum de la mise à jour de l'implémentation logicielle EIP-20. Pour l'instant, John Bulich, directeur technique de Power Ledger , conseille à ses clients de « conserver leurs propres Crypto dans leurs propres portefeuilles sécurisés » et de « ne confier aux plateformes d'échange centralisées que leurs stocks actuels ».

Les cinq émetteurs connus des jetons affectés sur les échanges centralisés n'ont pas répondu aux questions concernant la question de savoir s'ils avaient vérifié auprès des échanges de Cryptomonnaie la vulnérabilité.

Huobi, Baer Chain et Rocket Pool n'ont pas répondu aux demandes de commentaires.