« Une série de vulnérabilités épiques » découverte sur la blockchain EOS

La première entreprise chinoise de cybersécurité, 360, a publié un rapport détaillant plusieurs « vulnérabilités à haut risque » dans la chaîne de blocs EOS. Le projet devait être lancé le 2 juin 2018 sur le mainnet, et est maintenant confronté à une situation délicate.

Selon un rapport publié sur Weibo, l’équipe de l’éditeur 360 a signalé les failles de sécurité aux développeurs d’EOS le 29 mai et a fourni une évaluation des correctifs possibles.

360 a déclaré que la blockchain EOS est exposée à un risque potentiel d’attaque de code arbitraire à distance ; cette attaque permet aux pirates d’infiltrer à distance les nœuds du protocole et de prendre le contrôle total du système.

Un développeur de l’équipe d’EOS a confirmé les vulnérabilités et aurait déclaré que le réseau ne serait pas lancé tant que les problèmes ne seraient pas résolus de façon permanente, a affirmé la source cnLedger.

Cependant, EOS a déclaré qu’aucun report concernant le lancement du mainnet n’était envisagé, et que la majorité des failles décrites a été comblée.

Media has incorrectly reported a potential delay in the release of EOSIO V1 due to software vulnerabilities. Our team has already fixed most and is hard at work with the remaining ones. EOSIO V1 is on schedule; please stay tuned to our EOSIO channels for official information.

— EOSIO (@EOSIO) May 30, 2018

Des failles « épiques », capables de réduire à néant la blockchain

360 explique:

« L’attaquant peut déployer des contrats intelligents avec du code malveillant au super nœud EOS, qui exécutera le contrat et déclenchera un bogue de sécurité. Une fois le contrat inclus dans un nouveau bloc, tous les nœuds complets, y compris les nœuds de sauvegarde, les échanges, les nœuds de portefeuille, sont tous susceptibles d’être attaqués. »

A la suite de cela, l’attaquant peut  » faire ce qu’il veut « , y compris contrôler toutes les transactions, bloquer le réseau, acquérir des informations sur tous les portefeuilles, ou même désactiver la blockchain EOS.

360 a lancé un appel aux projets de ce type dans son rapport et a indiqué :

« On espère que la découverte et la divulgation de cette faille amènera l’industrie blockchain et les pairs du secteur de la sécurité à accorder plus d’attention à la sécurité de ces enjeux et à améliorer conjointement la sécurité du réseau blockchain ».

d’après btcmanager