Faille critique dans Parity, tous les portefeuilles multisig bloqués

07 novembre 2017 - 23:01

Temps de lecture : 2 minutes

Par Victor

Mi-juillet, une autre faille critique avait été découverte et exploitée dans des portefeuilles multisig Parity, qui représente près de 20% du réseau Ethereum. Il est résulté un vol de 30 millions de dollars en Ethers.

Une nouvelle crise majeure se déroule en ce moment pour les utilisateurs de portefeuilles Parity avec la fonctionnalité multi-signatures. Quelques mois à peine après un précédent piratage, une nouvelle vulnérabilité a été découverte puis exploitée, supprimant totalement le code de la librairie du logiciel. Il en résulte que tous les portefeuilles multisig créés après le piratage de Juillet avec le client Parity sont bloqués et que probablement seul un hardfork pourra résoudre le problème.

La vulnérabilité affecte tous les portefeuilles Parity déployés après le 20 juillet qui utilisent la fonctionnalité « multi-signatures » de l’entreprise. Cette fonctionnalité permet à plus d’un utilisateur d’interagir avec le portefeuille. Les portefeuilles à signature unique ne sont eux pas impactés.

Une exploitation accidentelle et dévastatrice

L’origine de ce problème serait accidentelle. Dans son alerte publiée sur son blog, Parity explique:

« Il était possible de transformer le contrat de la librairie Parity Wallet en portefeuille multi-sig et d’en devenir propriétaire en appelant la fonction initWallet. Il semblerait que le problème a été déclenché accidentellement le 6 Novembre 2017 02:33:47 PM +UTC et par la suite un utilisateur a suicidé la librairie – devenue un portefeuille, effaçant le code de la librairie qui à son tour a rendu tous les contrats multi-sig inutilisables.»

Le « fautif » de ce drame porte le pseudonyme « devops199 », dans un ticket de support ouvert sur le repository GitHub de la firme, il annonce laconiquement avoir accidentellement tué la librairie.

[adblockingdetector id= »59b7fe7ae1769″]

Un hardfork est probablement la seule solution pour récupérer les fonds

Les premiers chiffres font écho de près de 150 millions de dollars bloqués, et certaines compagnies à l’image de Polkadot sont maintenant incapables d’interagir avec leurs fonds.

Ces chiffres sont, comme l’a rappelé le groupe dans un tweet, uniquement spéculatifs mais les clients Parity représentant 20% du réseau total d’Ethereum, il est fort probable que ce montant soit au final bien plus conséquent.

La blockchain étant immuable, il est très incertain qu’il soit possible de revenir à un état antérieur sans procéder à un hard fork. Cette solution est désormais sur la table.

Le 17 juin 2016, le piratage de The DAO, une organisation décentralisée sur Ethereum, avait permis à un pirate de dérober 3 millions d’ethers soit 3.5% de tous les ethers alors en circulation. A la suite de ce désastre, la communauté a procédé à un hard fork qui a mené à une scission de chaîne et la création d’une nouvelle blockchain: Ethereum Classic.

[adblockingdetector id= »5bbf1a00ae440″]

Recevez le top 3 de l'actualité crypto chaque dimanche