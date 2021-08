in

Le client logiciel le plus populaire de la blockchain Ethereum, Geth, également connu sous le nom de « Go Ethereum », a été confronté hier à un exploit majeur sur les anciennes versions. Le bogue a affecté les anciennes versions des clients Geth, en particulier la v1.10.7 et les versions antérieures.

L’exploit aurait affecté plus de 50% des anciens clients Ethereum qui n’ont pas mis à jour le dernier correctif publié par les développeurs de Go Ethereum le 24 août. . 74% des clients utilisent Geth et sur ces 73% étaient sur l’ancienne version, ce qui signifie que 54% des nœuds Ethereum fonctionnent avec le bogue.

L’équipe Go Ethereum a découvert la vulnérabilité elle-même le 18 août, mais n’en a pas révélé la nature pour éviter que d’autres exploitent le problème. Le chef de l’équipe Ethereum, Péter Szilágyi, avait déclaré qu’ils révéleraient le vecteur d’attaque à une date prochaine,

« Le vecteur d’attaque exact sera fourni à une date ultérieure pour donner aux opérateurs de nœuds et aux projets en aval dépendants le temps de mettre à jour leurs nœuds et leurs logiciels »

Message d’intérêt public : le mardi 24 août, Geth publiera un correctif pour un problème de sécurité de gravité élevée. Veuillez faire tous les préparatifs nécessaires pour mettre à niveau vers la version à venir (v.1.10.8). #ethereum #geth – Go Ethereum (@go_ethereum) 18 août 2021

Bien que l’équipe Go Ethereum n’ait pas révélé la nature de la vulnérabilité, il semble que l’attaquant ait réussi à la comprendre et se soit attaqué à des clients plus anciens qui n’avaient pas mis à jour le correctif. Alors que le réseau a demandé à tout le monde de passer à la dernière version, les données suggèrent que seuls 30% des validateurs l’ont fait, ce qui a facilité l’attaque une fois la vulnérabilité découverte.

Quelle était la nature de l’attaque et quel impact a-t-elle sur la blockchain Ethereum ?

L’idée d’informer les gens du bogue à l’avance a lamentablement échoué car ce n’était qu’une question de temps avant que quelqu’un ne réussisse à identifier le problème. Les développeurs d’Ethereum pensent que le plan a lamentablement échoué, mais plus encore parce que les validateurs de nœuds n’ont pas réussi à mettre à jour la version corrigée à temps. L’attaquant a réussi à valider les modifications d’un contrat pré-compilé en ajoutant une modification au même emplacement mémoire en tant que fonction.

Un utilisateur de Twitter qui s’appelle “Good Guy Biker – Vancouver BC Canada” a donné une description complète de l’exploit et a également expliqué la nature de l’attaque. En raison de la vulnérabilité, le réseau Etheruem exécutait deux chaînes simultanément et si la mauvaise n’était pas supprimée à temps, cela aurait pu entraîner une double dépense ou une attaque à 51% car la majorité des validateurs n’avaient pas mis à jour leurs clients.

Comme promis, voici une ventilation de l’exploit en cours du réseau gETH. Contrat d’attaque ici https://t.co/aDazyM2WaK Utilisation de STATICCALL le contrat recompilé pour exécuter la fonction RunPrecompiledContract. Le contrat renvoie la référence du contrat intelligent 0x4 de… pic.twitter.com/lQtST36NqQ – Good Guy Biker – Vancouver BC Canada (@SpillyGuy) 28 août 2021

Ce n’est pas la première fois que le réseau Ethereum est confronté à une division de la chaîne en raison d’une vulnérabilité dans l’ancienne version client de Geth. En novembre, un problème similaire a conduit à une autre scission de la chaîne car les validateurs n’ont pas réussi à mettre à niveau. Parlant de l’annonce préalable, un développeur d’Ethereum a déclaré :

« La dernière fois que nous avons fait un correctif, les gens étaient en colère parce que nous ne l’avons pas annoncé. Cette fois, nous avons décidé de l’essayer différemment. Voyons ce qui fonctionne le mieux »,

Clause de non-responsabilité

Le contenu présenté peut inclure l’opinion personnelle de l’auteur et est soumis aux conditions du marché. Faites votre étude de marché avant d’investir dans les crypto-monnaies. L’auteur ou la publication n’assume aucune responsabilité pour votre perte financière personnelle.

à propos de l’auteur

Diplômé en ingénierie, Prashant se concentre sur les marchés britannique et indien. En tant que crypto-journaliste, ses intérêts se situent dans l’adoption de la technologie blockchain dans les économies émergentes.