La semaine dernière, les investisseurs dans la cryptomonnaie XVG Verge, populaire, favorisant la protection de la vie privée, ont reçu des nouvelles inquiétantes.
Selon un post sur un forum, un mineur malveillant aurait trouvé un moyen de soumettre Verge à une prise de contrôle, très hypothétique, de la blockchain, appelée “l’attaque à 51%”.
En termes simples, un individu a exploité une très grande partie de la puissance de minage de la blockchain, gagnant potentiellement du pouvoir pour la génération de devises.
Théoriquement, cette situation peut se rencontrer si un unique mineur acquiert soudainement beaucoup de puissance de calcul pour augmenter son taux de hachage (équivalent à sa puissance de génération de devises). Mais cette fois la raison semblait plus simple : à savoir que le cybercriminel a tout simplement trouvé des bugs dans le logiciel de Verge.
Selon un individu appelé OCminer :
En raison de plusieurs bugs dans le code XVG, vous pouvez exploiter cette fonctionnalité en minant des blocs avec un horodatage falsifié. Lorsque vous soumettez un bloc miné, en tant que mineur ou pool malveillant, vous définissez simplement un faux horodatage pour ce bloc, datant d’une heure par exemple, et XVG “pense” que le dernier bloc extrait de cet algorithme est effectivement vieux d’une heure.
Votre prochain bloc, à savoir le bloc suivant, aura alors l’heure correcte. Et comme une heure s’est écoulée, du moins c’est ce que pense le réseau, cela permet d’ajouter ce bloc à la chaîne principale.
Parce que Verge utilise cinq algorithmes différents pour les blocs minés successifs, cela ne devrait pas être possible. Cependant, le bug d’usurpation d’horodatage a permis au cybercriminel d’extraire la monnaie en utilisant un seul algorithme, Scrypt, à un rythme très rapide.
L’anxiété grandissant, le fil du compte Twitter officiel de Verge a déclaré qu’il ne s’agissait pas du tout d’une “attaque à 51%” redoutée :
We had a small hash attack that lasted about 3 hours earlier this morning, it’s been cleared up now. We will be implementing even more redundancy checks for things of this nature in the future! $XVG #vergefam
— vergecurrency (@vergecurrency) 4 avril 2018
De même, d’autres ont souligné que cette “petite attaque” avait permis au cybercriminel en question de générer 1 560 Verge par seconde (65€ par seconde), ce qui, selon la durée de vie du taux, pouvait représenter de quelques milliers à un million de dollars.
De façon peu pratique, la résolution de ce problème nécessiterait l’équivalent d’un hard fork au sein de Verge, à savoir une mise à jour importante nécessitant que tous les mineurs migrent vers un nouveau protocole et une nouvelle blockchain.
Verge a connu une première métamorphose, quand il a émergé du changement de nom d’une monnaie appelée DogeCoinDark en 2016, elle-même une émanation du dogecoin culte.
La communauté Verge s’est disputée au sujet de ce que cette “fork” pourrait signifier en matière de mécanisme de défense, avec certains la décrivant comme bâclée.
L’analyse suivante a alors été fournie:
L’équipe XVG a maladroitement choisi de rediriger tout son réseau pour “réparer” les blocs exploités, mais cette opération a empêché l’ensemble du réseau de se synchroniser.
Pendant ce temps, il semblait que le cybercriminel avait gardé la cryptomonnaie XVG minée pendant la cyberattaque.
Il ne s’agit pas de la première fois qu’un bug logiciel dans la blockchain d’une cryptomonnaie ait créé de l’argent à partir de rien, un problème moins sérieux a permis à Coinbase de connaitre la même expérience le mois dernier.
Le fait que cette cyberattaque ait eu lieu mis à part, ce qui peut paraître extraordinaire à des observateurs extérieurs c’est plutôt la confusion qui a entouré les événements qui sont arrivés (ou non) à Verge, pendant cette attaque.
Pour les sceptiques, il s’agit d’un autre avertissement concernant les blockchains, à savoir qu’elles ne sont pas le concept infaillible que certains ont revendiqué.
Billet inspiré de Hacker mines up to $1 million in Verge after exploiting major bug, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.