1 milliard de dollars de jetons ERC20 potentiellement vulnérables
27 août 2020 - 17:00
Temps de lecture : 4 minutes
Par Hugh B.
Depuis leur mise en place, les jetons ERC20 ne cessent de se développer. Leur nombre est en constante augmentation du fait de la simplicité de leur mise en place. Mais cette prolifération quasi incontrôlable s’accompagne de failles techniques majeures qui pourraient entraîner des pertes colossales. Une récente estimation avance une somme supérieure à 1 milliard de dollars ainsi vulnérable.
Créer un jeton ERC20 est à la portée de n’importe quelle personne motivée ayant envie de développer une cryptomonnaie. Une réalité qui fait le succès d’Ethereum (ETH) et de son principe de Money Lego sur laquelle tout se construit. Un outil très utilisé au sein de la DeFi qui est même le principal support de projets comme le très célèbre Tether (USDT) ou le LINK, pour ne citer qu’eux.
Cette option crypto pour les nuls a déclenchée la mise en service de centaines de milliers de ces tokens. Le site etherscan en comptabilise très exactement 287 462 au moment de la rédaction de cet article. Ces derniers ont d’ailleurs dépassé ETH en termes de volume total enregistré sur sa blockchain dans un « transaction flippening » intervenu fin 2019. Un mouvement qui ne s’est pas arrêté là puisqu’en mai 2020 un autre de ces renversements concernait la valeur totale détenue sur la blockchain d’Ethereum. Les jetons ERC20 en représentant plus de 50%.
L’attaque de type fake deposit
La mise en place de ces jetons ERC20 s’est accompagnée de nombreux succès, mais également de problèmes sévères. En particulier celui connu sous le nom de faille fake deposit identifié fin 2017. Une découverte qui a déclenché un mouvement de panique au sein de la cryptosphère en pleine explosion de cette offre innovante. Cela du fait que ce bug dans le code standard de ces jetons pouvait permettre des attaques très rentables pour un coût quasiment nul.
Dans les faits, il s’agit d’une opération dont la mise en place repose sur l’exploitation d’une faiblesse des méthodes de contrôle des transactions sur certaines plateformes d’échange en relation à une faille connue des jetons ERC20. Cela offrant à un pirate informatique l’opportunité de modifier le code des smart contracts ou d’utiliser des scripts à l’encontre d’un jeton. Le tout permettant de siphonner des sommes très importantes de jetons ERC20.
Cette attaque de faux dépôt pouvant entraîner des conséquences catastrophiques pour la plateforme concernée et ses utilisateurs.
Un problème toujours d’actualité
Malgré le fait que cette faille soit connue depuis fin 2017 et qu’elle bénéficie de correctifs appropriés, le problème reste d’actualité. Une réalité pointée par une récente étude menée conjointement par l’Université de Pékin et celle du Queensland en Australie. Et leurs conclusions sur le sujet sont alarmantes.
« Si l’attaque fake deposit est menée, c’est à coup sûr un grand désastre pour le jeton. (…) Dans le pire des cas, il devra être réémis. » – Haoyu Wang, Université de Pékin
En effet, il semble que dans ce raz de marée de jetons ERC20 en circulation à l’heure actuelle 7772 d’entre eux soient encore exposés à ce genre d’attaque. Ce qui représente presque 3% de la totalité des ces tokens en circulation. Une information qui est donc loin d’être anecdotique.
Des jetons populaires
Ces jetons à la vulnérabilité digne d’un cheval de Troie sont de véritables bombes à retardement pour les plateformes d’échange qui en proposent l’achat et le trading. En particulier lorsque l’on apprend que plus de 99% d’entre eux sont répertoriés sur les plus populaires d’entre elles comme Binance, Coinbase ou encore OkEX et Kraken. Ce qui représente 7716 jetons en tout pour un montant total estimé à plus de 1,1 milliard de dollars en avril de cette année.
Le rapport publié pointe des cryptomonnaies populaires comme le BAT du navigateur Brave. Mais également les jetons de Baer Chain (BRC), de l’exchange Huobi (HPT), de l’application Rocket Pool (RPL) ou du réseau électrique Power Ledger (PWR). Cette attaque pouvant rendre certains de ces services inaccessibles, dans le meilleur des cas.
Quelle solution apporter ?
Parmi les solutions préconisées, le renforcement du contrôle de ces jetons par les plateformes d’échange est une nécessité qui paraît évidente. Cela pouvant aller jusqu’à leur inscription sur une liste noire pour éviter tout risque d’attaque liée à cette faille. Une solution qui semble cependant très radicale.
Une seconde option a été proposée par un membre de l’équipe de recherche de l’Université de Zhejiang. Elle pourrait consister à publier des smart contracts par procuration (proxy). Cela dans le but de conserver la possibilité de remplacer les anciens. Mais cette opération n’est pas sans risque. L’option proxy comportant d’autres problèmes de sécurité qui lui sont propres.
Suite à cette information le navigateur Brave a indiqué que cette faille n’était pas présente sur le jeton BAT car aucun smart contract n’a été déployé avant 2017. la société Power Ledger quant à elle informe les détenteurs de son jeton PWR de « conserver leurs actifs cryptographiques dans leurs propres portefeuilles sécurisés et ne pas faire confiance aux plateformes centralisées avec autre chose que leur stock de négociation actuel. »
Restons connectés
7,831 followers
17,800 followers
137,000 followers
1,253 followers