Retour sur l’importante faille découverte sur certains jetons ERC-20 de la blockchain Ethereum
28 avril 2018 - 13:32
Temps de lecture : 2 minutes
Par Julie P.
Une faille a été découverte dans certains smart contracts, qui permet de générer de nouveaux jetons d’un token ERC20.
Une bien triste nouvelle est tombée ces derniers jours, une faille a été découverte dans le code GitHub de certains jetons cryptographiques reposant sur la technologie blockchain d’Ethereum. Cette faille permettait ainsi à tout individu de créer un nombre illimité de jetons en plus que ceux ayant été mis en circulation par les équipes officielles autour des projets.
D’après thenextweb, c’est la startup Peckshield spécialisée dans la sécurité qui a découvert ce problème pour la première fois. Suite à cette découverte, de nombreux échanges et plateformes d’échange ont décidé de bloquer temporairement tous ou partie des jetons ERC-20 qu’ils avaient auparavant listés, avec pour exemple Poloniex, Changelly, Quoine ou encore OKEx.
We've temporarily suspended ERC-20 token deposits and withdrawals while we review all smart contracts for exposure to the reported batchOverflow bug. We take any reports of vulnerabilities very seriously to ensure that customer funds remain safe. Thank you for your patience!
— Poloniex Exchange (@Poloniex) April 25, 2018
Changelly a mis une capture d’écran montrant la ligne du code en tord, celle permettant la création illimitée de jetons.
Dear Customers, ERC20 tokens are temporarily unavailable due to an exploit check. We will bring them back, once we are sure there is no vulnerability in deposits received. Follow the updates! https://t.co/qYutri4X3X
— Changelly (@Changelly_team) April 25, 2018
L’adresse Ethereum de cet individu ayant procédé à cette manipulation de jetons BeautyChain montre par exemple que celui-ci a pu se créer 57,9 * 10^57 jetons, une somme outrageuse et surtout trop étrange pour passer inaperçue, entrainant ainsi une enquête sur la raison d’une telle quantité chez cette personne.
Panique sur les forums après la découverte de la faille
Si dans les premières heures, la panique a gagné tout utilisateur de jetons ERC-20, des développeurs se sont rendu compte que toutes les crypto-monnaies n’étaient pas touchées, mais seulement celles utilisant la fonction « batchtransfert ». Par chance, cette fonction ne fait pas partie de la norme ERC-20, mais a été implémentée en plus des fonctions déjà proposées par la norme. Le nombre de jetons impactés est donc assez limité.
OKEx a pour sa part annoncé repasser sur toute transaction ayant été faite sur les jetons BeautyChain sur sa plateforme d’échange, pour vérifier qu’il n’y a pas eu de moindre montant ayant pu être échangé contre des bitcoins ou des ethers, en raison du caractère frauduleux de ces jetons créés illégalement.
Même si les développeurs font tout ce qu’ils peuvent pour produire un code sans faille, il n’est cependant pas impossible que des erreurs ou de mauvais bouts de codes soient implantés dans des protocoles.
Restons connectés
7,831 followers
17,800 followers
136,000 followers
1,244 followers