Pour gérer vos consentements :
Categories: RisquesSécurité

The DAO : cyber-casse à 40 millions de dollars sur la blockchain

Une course contre la montre a débuté pour The DAO.

Le projet communautaire, qui se présente comme la première organisation décentralisée hébergée sur la blockchain, est passé en mode gestion de crise après s’être fait voler 3,641 millions d’ethers, soit près de 40 millions de dollars au taux de change actuel.

Le cours de la crypto-monnaie a chuté avec l’annonce de ce piratage : samedi, on parlait encore d’un butin de 50 millions de dollars.

Comment expliquer une telle attaque ? Au commencement était une faille dans le code. Plus précisément au niveau de la fonction splitDAO(), destinée à subdiviser un DAO (« Decentralized Autonomous Organization ») en cas de désaccord entre ses participants.

Cette vulnérabilité a été exploitée pour mettre en place un appel récursif permettant de réaliser des transactions de manière répétée… en une seule session, sans jamais que le nouveau solde soit enregistré. Assez pour transférer une grande quantité de fonds ; dans le cas présent vers un clone du DAO*.

Cofondateur de la Fondation Bitcoin, Peter Vessenes était revenu, il y a une dizaine de jours, sur cette faille qu’il avait baptisée « Race to Empty ». Son analyse avait alerté la communauté, qui se raccroche aujourd’hui à l’une des garanties inhérentes au DAO : les fonds ne deviennent utilisables que 27 jours après la création de l’entité.

Dans l’absolu, cela laisse jusqu’au 14 juillet pour trouver une parade, sachant par ailleurs que la blockchain Ethereum, sur laquelle se base The DAO, n’est pas touchée.

De haut vol ?

Directeur des opérations de Slock.it (entreprise à l’origine du DAO et d’une serrure connectée fonctionnant via la blockchain), Stephan Tual se veut rassurant : les ethers volés ne pourront pas être dépensés sans être détectés, chacun étant unique et traçable sur la blockchain.

Il est de ceux qui suggèrent un fork, en l’objet d’une nouvelle version du logiciel qui, s’il est installé par suffisamment de personnes, « effacerait » le hack en rendant invalides les ethers dérobés et en en émettant autant de nouveaux pour rembourser chacun des investisseurs du DAO.

Cette proposition est loin de faire consensus. Pour beaucoup, elle remet en cause le principe même de la blockchain, fondé sur la décentralisation. Certains notent par ailleurs que la communauté Bitcoin n’a pas choisi cette option après la chute de la plate-forme d’échange MtGox.

D’autres vont jusqu’à se demander si, au regard du statut pour l’heure « alégal » du DAO, il s’agit à proprement parler d’un vol ou si l’auteur de l’attaque a simplement « exploité le code à son avantage »…

Entre les tirs croisés (dont celui de Slock.it, qui propose un schéma de contre-attaque), on recense quelques appels au calme pour les investisseurs, les mineurs et les plates-formes d’échange. Ainsi que des recommandations, comme celle de ne plus créer de « smart contracts » hébergeant plus de 10 millions de dollars – The DAO, qui en est un, a levé l’équivalent de plus de 150 millions de dollars, pour près de 15 % des ethers en circulation.

Les enjeux sont comparables à ceux qui se posent dans la communauté Bitcoin concernant l’évolution du protocole pour assurer une capacité de montée en charge.

* Pour davantage d’informations, voir notre article « The DAO : quand la blockchain bouleverse la gouvernance ».

Crédit photo : FabrikaSimf – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago