Que feriez-vous si vous trouviez un bug qui pourrait créer de l’argent à partir de rien ?
L’application web hollandaise Boffins VI Company en a trouvé un, au sein de la populaire plateforme d’échange de cryptomonnaie Coinbase, et l’a utilisé afin de récupérer la somme rondelette de $10,000 (environ 8200€).
Heureusement pour Coinbase, les découvreurs de ce bug ont gagné cet argent en signalant ce problème via le programme bug bounty de la plateforme d’échange, plutôt qu’en utilisant de manière malveillante le code buggé.
Les ennuis ont commencé lorsque VI Company a eu l’idée de génie d’offrir ether (la monnaie utilisée par la plateforme Ethereum et la deuxième cryptomonnaie la plus populaire au monde) comme cadeaux de Noël.
…nous avons eu quelques portefeuilles qui ont renvoyé un message d’erreur quand nous avons essayé d’envoyer Ethereum sur ce dernier. Cet incident a eu comme effet d’arrêter l’exécution de ce contrat intelligent, et d’inverser toutes les transactions comme cela était à prévoir.
…un de nos collègues, qui a décidé d’utiliser Coinbase comme portefeuille, nous a dit qu’il avait reçu Ethereum.
Après quelques tests, l’entreprise a confirmé qu’il ne s’agissait pas d’un cas isolé. Chaque fois qu’elle tentait d’ajouter ether aux portefeuilles Coinbase, l’argent arrivait sans jamais avoir été envoyé.
De manière surprenante, nous avons pu utiliser ce bug à plusieurs reprises, et ajouter Ethereum à nos portefeuilles Coinbase sans jamais envoyer d’argent.
Bien que peu d’informations sur le bug lui-même aient été divulguées, il semble que si le contrat intelligent basé sur Ethereum a bien rencontré des problèmes lors de son exécution, il a cependant annulé toutes les transactions qui avaient été lancées jusque-là, un retour vers Coinbase n’était pas possible.
La plateforme Ethereum est une machine complexe qui compte déjà quelques bugs-avec-conséquences.
Parmi ses faits d’armes, Ethereum compte un portefeuille buggé qui a gelé 300 millions de dollars, une faille qui a elle-même été introduite par une mise à jour au niveau du portefeuille intelligent, conçue pour corriger une faille qui avait été utilisée pour récupérer 32 millions de dollars supplémentaires.
Cet évènement s’est produit environ un an après un autre vol d’environ 55 millions de dollars, à partir du programme d’Ethereum DAO (Decentralized Autonomous Organization), maintenant tristement célèbre !
Le bug “money-for-nothing” trouvé par VI Company n’existait pas dans Ethereum ou l’un des sous-ensembles intelligents et buggés qui le constituaient, car cette fois le bug était dans Coinbase exchange.
Surpris ? Probablement pas !
S’il y a bien une chose qui rend les aventures palpitantes de la plateforme Ethereum plutôt agaçantes, c’est l’écosystème d’échange vulnérable qui sous-tend le commerce des cryptomonnaies.
Le commerce de cryptomonnaies fait l’objet d’accusations de délits d’initiés, d’arnaques et de vols par les propriétaires, et est ponctué par des vols colossaux de widgets numériques étonnamment précieux dont vous n’avez jamais entendu parler. Des vols comme la perte récente par Coincheck d’un demi-milliard de dollars de NEMs !
Heureusement, et pas par accident, ce bug a été éradiqué avant que quiconque ne perde le moindre centime.
Si les échanges de cryptomonnaies veulent améliorer leur image, ainsi que la possibilité pour les utilisateurs de conserver leur cryptocash, alors ils doivent prendre la sécurité au sérieux, et semblent d’ailleurs avoir déjà commencé à s’en préoccuper.
En exécutant un programme bug bounty HackerOne, Coinbase offre une récompense pour les gens qui trouvent des bugs ainsi qu’un moyen d’apprendre et surtout d’agir.
Dans ce cas, la faille a été corrigée quelques heures seulement après en avoir eu connaissance.
Billet inspiré de The bug that made free money, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.