Post by: newshunter on March 22, 2018, 01:00:09 PM
Cette faille, dont la découverte a été annoncée ce mercredi, n’a toutefois pas été exploitée de manière délibérée. Coinbase, l’un des principaux services d’achat de Bitcoin au monde, avait reçu une alerte de la part d’une société spécialisée en cybersécurité. Celle-ci lui avait indiqué qu’il existait une faille dans l’un des smart contracts qu’elle utilisait – […]
L’article Coinbase : une faille liée à un smart contract permettait des retraits d’Ethers théoriquement infinis est apparu en premier sur Crypto-France.
Cette faille, dont la découverte a été annoncée ce mercredi, n’a toutefois pas été exploitée de manière délibérée.
Coinbase, l’un des principaux services d’achat de Bitcoin au monde, avait reçu une alerte de la part d’une société spécialisée en cybersécurité. Celle-ci lui avait indiqué qu’il existait une faille dans l’un des smart contracts qu’elle utilisait – une faille qui aurait pu permettre à des individus malintentionnés de retirer, en théorie, un nombre infini d’Ethers.
Depuis, le problème a été corrigé, et la société californienne a indiqué qu’aucun individu n’avait tenté de tirer profit de cette brèche – même s’il a été fait mention de pertes accidentelles.
Cette faille a été découverte dans le cadre d’un programme de bug bounty, avec à la clé une récompense de 10 000 dollars.
Et l’annonce faite hier de cette découverte a été largement relayée sur Twitter :
“Coinbase bug made it possible to reward yourself with unlimited Ethereum.” https://t.co/BSigA3hiMT pic.twitter.com/zxrzRPyhjx
— WhalePanda (@WhalePanda) 21 mars 2018
Précisions que cette faille permettait à des utilisateurs d’ajouter des Ethers à leur compte Coinbase – mais pas de pouvoir directement les envoyer vers un portefeuille Ethereum dont ils détiendraient la clé privée. Et dans la mesure où les comptes Coinbase sont vérifiés et liés à l’identité de leur propriétaire, les pirates potentiels auraient sans doute rencontré des difficultés pour pouvoir conserver leur anonymat.
Coinbase has tight kyc so if they did, they wouldn’t get far. Unless fake IDs we’re used
—
BITCOIN_BULL_100M
Il est donc difficile de savoir si un individu aurait pu s’accaparer des volumes d’Ether conséquents, sans avoir à révéler sa véritable identité.
2/3 It’s a twist on the zero confirmation attacks against exchanges or merchants we’ve always seen. The smart contract executes 49 transactions built on top of each other sending to Coinbase, and then the last one fails invalidating the whole chain.https://t.co/lAU7Y2cAaP
— Adam B. Levine (@GamerAndy) 21 mars 2018
3/3 For some reason, Coinbase’s seems like it was not checking previously validated transactions, so when they suddenly became invalid the ETH was undelivered on the blockchain but still credited in the attackers coinbase account.
— Adam B. Levine (@GamerAndy) 21 mars 2018
Les smart contracts : une technologie encore expérimentale
Cette découverte a ravivé les inquiétudes liées à la sécurité des smart contracts. Jusqu’ici, plusieurs startups semblent avoir déployé de tels contrats sans qu’ils ne fassent l’objet d’audits poussés – parfois en s’appuyant uniquement sur un programme de bug bounty. On sait pourtant que des codes informatiques défectueux ont permis à des tiers, à plusieurs reprises, d’effectuer des retraits conséquents – comme ce fut le cas lors du hack de TheDAO.
Jusqu’ici, les plateformes se sont protégées contre la fraude de la double-dépense ou des soldes incorrects en exigeant un grand nombre de confirmation des transactions.
Notons que la plupart des exploitations de failles de sécurité liées à des smart contracts ont eu lieu sur la blockchain Ethereum – probablement parce qu’il s’agit de la plateforme la plus utilisée par les développeurs. Mais cette problématique est loin de se limiter à celle-ci, et il s’agit sans doute de l’un des principaux défis que devra relever l’écosystème dans les mois et les années à venir.
Référence : Crypotovest
L’article Coinbase : une faille liée à un smart contract permettait des retraits d’Ethers théoriquement infinis est apparu en premier sur Crypto-France.
Source: Coinbase : une faille liée à un smart contract permettait des retraits d’Ethers théoriquement infinis (https://www.crypto-france.com/coinbase-faille-smart-contract/)
:P